Los 9 mandamientos en Protección de datos

1.- PROACTIVIDAD

Usted empresario debe ser proactivo, valorar  sus riesgos, establecer medidas y poder demostrar que cumple la normativa.

Ya no basta con reaccionar ante la normativa de protección de datos y cumplirla. El articulo 24 del RGPD, le obliga a tener una actitud proactiva a la hora de valorar sus propios riesgos y tomar medidas, las que usted considere necesarias, que garanticen la no vulneración de los derechos y libertades de las personas cuyos datos está tratando, pero además, le exige demostrar el cumplimiento y por tanto tendrá que documentar.

2.- GARANTÍA DE SEGURIDAD

Usted, empresario, debe garantizar la seguridad del tratamiento.

El artículo 32 del RGPD le obliga a garantizar que no deja las puertas  abiertas al riesgo, al quebranto de la confidencialidad, de la disponibilidad, de la integridad y de la resiliencia de los datos personales que trata.

Una vez valorado el riesgo existente que entraña cada uno de sus tratamientos, deberá implantar las medidas técnicas y organizativas adecuadas.

3.- LICITUD

Usted, empresario, solo debe hacer tratamientos lícitos.

El tratamiento que usted lleve a cabo debe ser lícito, es decir:  Debe estar permitido por la ley.

Si no concurre una causa de licitud establecida expresamente en los artículos 6, 9 y 10 del RGPD, el tratamiento es ilícito.

4.- LEALTAD

Usted, empresario, ha de obrar con lealtad.

Usted, su organización ha de ser “leal”  a quienes les otorgan sus datos. Esto significa que deben cumplir con unas normas no escritas de fidelidad, honor y gratitud y adquirir un compromiso ético de tratar los datos de los demás con la misma diligencia que desearía de otros con respecto a sus propios datos. 

Su organización no puede consentir acciones, omisiones, y descuidos que perjudiquen los derechos y libertades de las personas cuyos datos trata.

(Artículo 5 RGPD)

5.- TRANSPARENCIA

Usted, empresario, ha de ser transparente.

Explique a las personas, quién es usted, quien es su organización, que datos trata y para qué los trata, que fines tiene dicho tratamiento, que derechos les asisten, etc. Hágalo además con un lenguaje inteligible, claro, sencillo y conciso, y colóquelo en un lugar de fácil acceso, no lo esconda. Tenga en cuenta que ha de adaptarse a las personas, por tanto, puede que ponerlo por escrito no baste, quizás lo tenga que facilitar por otros medios, por ejemplo verbalmente, si así lo pide el interesado.

(Artículos 13 y 14 RGPD)

6.- FINES DETERMINADOS, EXPLÍCITOS, LEGÍTIMOS

Los fines para los cuales trata datos, han de ser determinados, explícitos y legítimos.

Tiene que explicar los fines de forma clara y detallada y por supuesto éstos deben legales. Si recaba datos para unos fines, no puede usarlos  ulteriormente para otros que sean incompatibles, salvo que haya obtenido el consentimiento del interesado, o exista una ley que se lo autorice por constituir ello una medida necesaria para garantizar intereses superiores, relevantes, esenciales para el Estado lógicamente sin perder de vista el concepto de sociedad democrática donde vivimos.

La compatibilidad entre fines queda en manos del responsable en base a unos criterios que establece la normativa expresamente.

7.- FINES ADECUADOS, PERTINENTES, LIMITADOS

El tratamiento que realice ha de ser adecuado y pertinente respecto a los fines.

Los datos personales tratados serán los adecuados, pertinentes y limitados a lo necesario en relación a los fines.

Solo recogerá los datos que sean oportunos y ni uno más.

Si razonablemente se puede conseguir el mismo fin tratando menos datos,  o con datos menos sensibles, se optará por este tratamiento.  

Por tanto:  Minimización, ahorro y pertinencia.

8.- EXACTITUD

Usted, empresario, ha de mantener los datos exactos y actualizados.

Los datos han de ser exactos, y si es necesario: actualizados para los fines del tratamiento. Como responsable de los datos tendrá que adoptar todas las medidas necesarias para que se supriman o se rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines.

9.- LIMITACIÓN DEL PLAZO DE CONSERVACIÓN

Usted, no puede conservar los datos identificativos por siempre.

Los datos personales han de mantenerse de forma que se permita la identificación de los interesados solo durante el tiempo necesario para cumplir el fin.

Además el  plazo de conservación ha de ser el mínimo estricto.

Aquí no hay una norma, pues depende del sector empresarial, del tipo de datos, de las posibles normativas específicas de la actividad, etc. Por ejemplo, los datos de salud es fácil de entender que no tengan fecha de caducidad mientras viva la persona, pues todo es relevante para la medicina, sin embargo con los datos contenidos en un curriculum no ha de pasar lo mismo.