Nociones básicas sobre tratamiento de datos
La regulación en materia de protección de datos es muy compleja. Pensamos que estas Nociones pueden ayudaros a comprenderla y serviros de ayuda tanto si tenéis que hacer algún tratamiento de datos como si queréis simplemente informaros.
¿Qué se entiende por datos personales? Toda información sobre una persona física identificada o identificable («el interesado o afectado»).
Se considera persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
¿Qué es un tratamiento de datos? Es cualquier operación o conjunto de operaciones que se realicen sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no.
¿Cuáles son las operaciones de tratamiento?
- la recogida de datos personales, ya sea del propio interesado o de otras fuentes;
- su registro, organización, estructuración, conservación, adaptación o modificación;
- su consulta, utilización, extracción, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión,
- su limitación, supresión o destrucción.
¿Cuáles son las categorías especiales de datos personales? Son aquellos datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos, datos de salud y datos relativos a la vida sexual o a las orientaciones sexuales de una persona física.
Su tratamiento está prohibido salvo que concurra alguna de las circunstancias expresa y legalmente tasadas.
¿Quién es interesado o afectado? El sujeto cuyos datos son objeto de tratamiento.
¿Qué es consentimiento del interesado?Toda manifestación de voluntad por la que el interesado acepta la recogida y tratamiento de datos personales que le conciernen.
¿Cómo ha de ser el consentimiento? Libre, específico, informado e inequívoco.
¿Y qué es un consentimiento informado? Es una manifestación de la voluntad libre y consciente válidamente emitida por una persona capaz, o por su representante autorizado, precedida de la información adecuada.
¿Quién es el Responsable del tratamiento» o «responsable»?La persona física o jurídica, autoridad pública, servicio u otro organismo que determina los fines y medios de tratamiento de los datos.
La Universidad de Zaragoza es la responsable de la mayor parte de los tratamientos de datos que realiza y cada tratamiento tiene un responsable interno.
¿Quién es el Encargado del tratamiento» o «encargado»?La persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento.
Si el encargado del tratamiento es una persona (o empresa) externa a la Universidad es preciso que se haya firmado un documento en donde conste el encargo, siguiendo los contenidos establecidos por la normativa de protección de datos.
La Universidad puede ser encargada del tratamiento de datos responsabilidad de terceros.
¿Y los corresponsables del tratamiento?Hay situación de corresponsabilidad cuando dos o más responsables determinan conjuntamente los objetivos y los medios de tratamiento, así como sus responsabilidades en el cumplimiento de las respectivas obligaciones.
¿Qué obligaciones tiene el responsable? El responsable ha de cumplir los principios que rigen en materia de protección de datos y aplicar las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento que realiza es conforme a lo que establece la normativa de protección de datos vigente.
¿Y el Encargado? El encargado sólo puede acceder a los datos personales que le indique el responsable y tratarlos siguiendo las instrucciones de éste. Para ello han de formalizar un contrato u otro acto jurídico en donde quede debidamente documentado el tipo y categorías de datos personales que vayan a ser objeto del tratamiento, su duración, su finalidad y demás obligaciones establecidas en la legislación en materia de protección de datos.
¿Qué son los Derechos del interesado? Conjunto de acciones que puede ejercer el interesado en relación con el tratamiento de sus datos por parte de responsables o encargados y que, de no ser atendidas podrá reclamar a la Agencia Española de Protección de Datos (AEPD).
¿Cuáles son esos derechos? Los de información, acceso, rectificación, supresión (derecho al olvido), limitación, portabilidad oposición y derecho a no ser objeto de una decisión asada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles.
Puedes encontrar amplia información y formularios enCuales son tus derechos | Unidad de Protección de Datos (unizar.es).
¿Qué es la anonimización? Elproceso por el cual deja de ser posible establecer por medios razonables el nexo entre un dato y el sujeto al que se refiere. Es aplicable también a la muestra biológica.
¿Y la seudonimización de datos personales?El tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
¿Cuáles son los principios que deben cumplirse en todo tratamiento de datos?
- Licitud, lealtad y transparencia: El tratamiento sólo será lícito si cumple las condiciones legalmente establecidas y se informa plenamente al interesado de para qué se le piden sus datos, cómo se van a tratar, quien va a ser responsable de ellos, a quien se pueden dirigir para ejercer sus derechos, etc. Y, si es preciso, para solicitar su consentimiento.
- Limitación de la finalidad: Los datos han de serrecogidos con fines determinados, explícitos y legítimos y no serán tratados ulteriormente de manera incompatible con dichos fines.
- Minimización de datos: Los datos han de ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
- Exactitud: Los datos han de serexactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan
- Limitación del plazo de conservación: Los datos que se traten no permitirán la identificación de los interesados por más tiempo del necesario para cumplir con la finalidad del tratamiento.
- Pueden conservarse durante periodos más largos siempre que se apliquen medidas de minimización de datos y se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
- Integridad y Confidencialidad: Adoptar medidas que garanticen la seguridad de los datos y su protección frente a tratamientos no autorizados o ilícitos y contra su pérdida, destrucción o daño accidental.
¿Qué significa violación de la seguridad de los datos personales?Toda brecha de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
¿Qué medidas de seguridad se deben aplicar? El responsable y el encargado del tratamiento aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo teniendo en cuenta la naturaleza y fines del tratamiento, así como los riesgos de probabilidad y gravedad para los derechos y libertades de los interesados.
En el ámbito del sector público, incluidas las Universidades Públicas, deben aplicarse las medidas de seguridad que establece el Esquema Nacional de Seguridad (ENS). También deben aplicarlas las empresas o fundaciones vinculadas y quienes les presten algún servicio en régimen de concesión, encomienda de gestión o contrato.