La protección y el tratamiento de los datos personales

El ámbito de protección del Reglamento se aplica al tratamiento total o parcialmente automatizado de los datos personales, así como al tratamiento no automatizado de los mismos que estén contenidos o destinados a un fichero de datos.

Hay una ampliación del marco territorial por parte del Reglamento, lo cual conlleva una garantía adicional para la ciudadanía europea (el Reglamento es aplicable a empresas que, hasta el momento, podrían estar tratando datos de personas en la Unión europea y se rigen por normativas de otros países o regiones no tan garantistas legalmente hablando). Se aplica, por lo tanto:

• A entidades responsables o encargadas del tratamiento de datos personales establecidas en la Unión europea (con independencia de que el tratamiento de dichos datos tenga o no tenga lugar en la Unión europea).
• A entidades responsables y encargadas no establecidas en la Unión europea siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanía de la Unión europea o como consecuencia de una monitorización y seguimiento de su comportamiento.

Algunos conceptos importantes.

• Datos personales. Toda información sobre una persona física identificada o identificable (persona interesada).
• Persona física identificable. Toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador (nombre, número de identificación, datos de localización, identificador en línea, uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social).
• Tratamiento de los datos personales. Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales (de manera automatizada o no), como: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión u otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
• Fichero. Todo conjunto estructurado de datos personales, accesible con arreglo a criterios determinados (centralizado, descentralizado o repartido de forma funcional o geográfica).
• Entidad responsable del tratamiento. Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto a otros, determine los fines y medios del tratamiento.
• Entidad encargada del tratamiento. Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta de la entidad responsable del tratamiento.
• Persona destinataria. Persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de una entidad tercera. No se considerarán personas destinatarias las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta.
• Entidad tercera. Persona física o jurídica, autoridad pública, servicio u organismo, distinto de la persona interesada, de la entidad responsable del tratamiento, de la entidad encargada del mismo y de las personas autorizadas para tratar los datos personales bajo la autoridad directa de la entidad responsable o encargada.
• Consentimiento de la persona interesada. Toda manifestación de voluntad libre, específica, informada e inequívoca por la que la persona interesada acepta (mediante declaración o clara acción afirmativa) el tratamiento de datos personales que le conciernen.

Los principios del tratamiento de los datos personales.

Los datos personales deberán ser:

• Tratados de manera lícita, leal y transparente con relación a la persona interesada.
• Recogidos con fines determinados, explícitos y legítimos (no siendo tratados posteriormente de manera incompatible con esos fines).
• Adecuados, pertinentes y limitados con relación a los fines para los que sean tratados.
• Exactos y, si fuera preciso, actualizados (adoptándose todas las medidas para su supresión o rectificación cuando sean inexactos con respecto a los fines para los que se tratan).
• Mantenidos de forma que se permita la identificación de las personas interesadas durante no más tiempo del necesario para los fines del tratamiento de los datos personales.
• Tratados de modo que se garantice una seguridad adecuada de los datos personales (protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental).

La entidad responsable del tratamiento de los datos personales deberá cumplir con el cumplimiento de los principios de dicho tratamiento.

El tratamiento de los datos personales sólo será lícito si se cumple, al menos, algo de lo establecido a continuación:

• La persona interesada dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
• Dicho tratamiento es necesario para la ejecución de un contrato en el que la persona interesada es parte o para aplicación de medidas precontractuales, a petición de aquélla.
• El tratamiento es necesario para el cumplimiento de una obligación legal aplicable a la entidad responsable del tratamiento.
• El tratamiento es necesario para proteger intereses vitales de la persona interesada o de otra persona física.
• El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la entidad responsable del tratamiento.
• El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por la entidad responsable o por una entidad tercera.
• Salvo excepciones establecidas en el Reglamento, se prohíbe el tratamiento de datos personales que revelen:

1. Origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas o afiliación sindical.
2. Datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos de salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.

El consentimiento para el tratamiento de datos personales.

Si el tratamiento de datos personales está fundamentado en el consentimiento de la persona interesada, la entidad responsable del mencionado tratamiento deberá ser capaz de demostrar que aquélla dio tal consentimiento (consentimiento verificable):

• Si el consentimiento se da en el contexto de una declaración escrita que se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal modo que se diferencie claramente de las restantes, de forma inteligible y de fácil acceso y utilizando lenguaje claro y sencillo (consentimiento inequívoco y explícito). Con el Reglamento en la mano, las prácticas de consentimiento tácito no serán aceptadas.
• La persona interesada tendrá derecho a retirar su consentimiento en cualquier momento (debiendo ser informada la persona interesada antes de dar su consentimiento). Será tan fácil dar el consentimiento como retirarlo.
• La edad en la que los niños y las niñas podrán prestar su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, en las redes sociales) será, como mínimo, 16 años (en España el límite se encuentra en los 14 años). Por debajo de esta edad, para que se traten los datos personales, será preciso el previo consentimiento de padres, madres o personas tutoras.

Los principios de protección de datos tenidos en cuenta en la Ley Orgánica 3/2018.

Teniendo en cuenta la Ley Orgánica 3/2018:

• Los datos que sean objeto de tratamiento serán exactos y, si fuera preciso, actualizados.
• Las entidades responsables y encargadas del tratamiento de datos estarán sujetas al deber de confidencialidad de los mismos, manteniéndose dicha confidencialidad aun cuando hubiera finalizado la relación de la persona obligada con las entidades mencionadas con anterioridad.
• Con respecto al consentimiento en el tratamiento de datos personales de la persona afectada, se entenderá por dicho consentimiento toda manifestación de voluntad libre, específica, informada e inequívoca por la que la persona afectada acepte (por medio de una declaración o de una clara acción afirmativa) el tratamiento  de los datos personales que le afecten.

1. Si se desea fundar el tratamiento de los datos personales en el consentimiento de la persona afectada para una pluralidad de finalidades, será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas esas finalidades.
2. No podrá supeditarse la ejecución de un contrato a que la persona afectada consienta el tratamiento de sus datos personales para finalidades que no guraden relación con el mantenimiento, desarrollo o control de la relación contractual.

• El tratamiento de los datos personales de una persona menor de edad solo podrá fundarse en su consentimiento cuando sea mayor de 14 años:

1. Excepto cuando se exija por ley la asistencia de las personas titulares de su patria potestad o tutela.
2. El tratamiento de los datos de personas menores de 14 años fundado en el consentimiento, solo será lícito si consta el consentimiento de la persona titular de la patria potestad o tutela.

• A fin de evitar situaciones discriminatorias, no será el solo consentimiento de la persona afectada para levantar la prohibición del tratamiento de datos cuya finalidad sea identificar su: ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. 

Cuando los datos personales sean obtenidos de la persona afectada, la entidad responsable del tratamiento podrá dar cumplimiento al deber de información que se establece en el Reglamento 2016/679, facilitando la información básica que deberá contener, al menos:

• La identidad de la entidad responsable del tratamiento y de su representante, en su caso.
• La finalidad del tratamiento.
• La posibilidad de ejercer los derechos establecidos en el Reglamento 2016/679.
• Indicándosele una dirección electrónica u otro medio que permita conocer de forma sencilla e inmediata a la restante información.

Si los datos obtenidos de la persona afectada fueran a ser tratados para la elaboración de perfiles, la información básica anterior comprenderá asimismo esta circunstancia. En este supuesto, la persona afectada deberá ser informada de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos sobre ella o le afecten significativamente de modo similar.

Cuando los datos personales no hubieran sido obtenidos de la persona afectada, la entidad responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el Reglamento 2016/679, facilitando a aquella la información básica que incluirá:

• La identidad de la entidad responsable del tratamiento y de su representante, en su caso.
• La finalidad del tratamiento.
• La posibilidad de ejercer los derechos establecidos en el Reglamento 2016/679.
• Las categorías de datos objeto de tratamiento.
• Las fuentes de las que procedieran los datos.
• Indicándosele una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante que se esteblece en el Reglamento 2016/679.

Si necesita información o asesoramiento en materia de consumo no dude en contactar con nosotros. Le recordamos que estamos a su disposición de forma gratuita y continuada a través del número de teléfono 900 21 50 80, del correo electrónico consumoresponde@juntadeandalucia.es, así como en nuestros perfiles de redes sociales o a través de esta misma página Web. Y si prefiere un servicio de atención presencial, puede acercarse a alguno de los Servicios Provinciales de Consumo, presentes en todas las capitales de provincia andaluzas.

Asimismo, podrá ampliar información en la web de la Agencia Española de Protección de Datos (AGPD).