Principios de la protección de datos de carácter personal

AutorAlberto Palomar (Magistrado de lo contencioso-administrativo) y Javier Fuertes (Magistrado)

Los principios de la protección de datos de carácter personal incluyen los requisitos formales y materiales que se han de cumplir en el tratamiento de datos de carácter personal. Estos principios comprenden la licitud del tratamiento, la exactitud de los datos personales, el deber de confidencialidad de los mismos y el consentimiento del afectado del tratamiento.

Contenido
  • 1 Licitud del tratamiento de los datos personales
  • 2 Exactitud de los datos personales
  • 3 Deber de confidencialidad de los datos personales
  • 4 Consentimiento del afectado del tratamiento de sus datos personales
    • 4.1 Concepto de consentimiento
    • 4.2 Tratamiento basado en el consentimiento del afectado de los datos personales
    • 4.3 Consentimiento del tratamiento de los datos personales de los menores de edad
  • 5 Datos personales de carácter especial
    • 5.1 Datos personales cuyo tratamiento está prohibido
    • 5.2 Excepciones a la prohibición de tratamiento de los datos personales
  • 6 Ver también
  • 7 Recursos adicionales
    • 7.1 En formularios
    • 7.2 En doctrina
    • 7.3 En dosieres legislativos
  • 8 Legislación básica
  • 9 Legislación citada
  • 10 Jurisprudencia y Doctrina administrativa citada
Licitud del tratamiento de los datos personales

Dispone el art. 5.1 a) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento de Protección de Datos o Reglamento 2016/679/UE, de 27 de abril) que los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado.

El art. 6.1 del Reglamento de Protección de Datos, establece que, para que el tratamiento de datos personales sea lícito, se ha de cumplir, al menos, una de estas condiciones:

  • Consentimiento del interesado: el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.

El art. 4.11 del Reglamento 2016/679/UE define “consentimiento del interesado” como:

Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le concierne.

La STS nº 1456/2021, 13 de Diciembre de 2021, [j 1] en relación con el consentimiento del interesado, establece que la intervención fraudulenta de un tercero, que suplanta la identidad de otra persona en una contratación on line, no excluye que la empresa contratante, quien realiza el tratamiento de los datos personales, haya podido incurrir en infracción por falta del necesario consentimiento inequívoco del afectado.

  • Necesidad del tratamiento para la ejecución de un contrato: el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales
  • Necesidad del tratamiento para el cumplimiento de una obligación legal: el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. En este sentido el art. 8.1 de la Ley Orgánica de Protección de Datos de Carácter Personal y garantía de los derechos digitales (LOPD-GDD/2018) dispone que el tratamiento de datos de carácter personal sólo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable cuando así lo prevea una norma de Derecho de la Unión Europea o una ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal, y que la ley podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en los arts. 24 a 43 del Reglamento 2016/679/UE.
  • Necesidad del tratamiento por razones vitales: el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
  • Necesidad del tratamiento por interés público: el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. El art. 8.2 de la LOPD-GDD/2018 establece que el tratamiento de datos de carácter personal sólo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, cuando derive de una competencia atribuida por la ley.
  • Necesidad del tratamiento por un interés legítimo: el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Previsión que no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
Exactitud de los datos personales

El art. 5.1 d) del Reglamento 2016/679/UE, de 27 de abril establece que los datos personales serán exactos y, si fuera necesario, actualizados.

Para ello se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

El principio de veracidad o exactitud tiene gran relevancia, en cuanto no sólo resulta necesario que los datos se recojan para su tratamiento de acuerdo con una serie de criterios (principio de proporcionalidad) y que los mismos se empleen para finalidades compatibles a las que motivaron la recogida (principio de finalidad), sino que también exige que quien recoge y trata datos de carácter personal garantice y proteja que la información sometida a tratamiento sea exacta y esté puesta al día (SAN de 24 de noviembre de 2011, recurso nº 471/2010). [j 2]

En este sentido el art. 4 de la LOPD-GDD/2018 dispone que:

La inexactitud no será imputable al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos:
  • Hubiesen sido obtenidos directamente del afectado.
  • Hubiesen sido obtenidos por el responsable de un mediador o intermediario cuando las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establezcan la posibilidad de intervención de un intermediario o mediador que recoja en nombre propio los datos de los afectados para su transmisión al responsable, se presumirán exactos. El mediador o intermediario asumirá las responsabilidades que pudieran derivarse en el supuesto de comunicación al responsable de datos que no se correspondan con los facilitados por el afectado.

Como ejemplo tenemos la Resolución 2789/2015 de la Agencia Española de Protección de Datos de 11 de noviembre de 2015 [j 3] en la que el hecho imputado consiste en asociar los datos personales de la denunciante a una deuda de la que no era titular, y tal asociación de datos de carácter personal era claramente inexacta como la propia denunciada reconoce, ya que la deuda objeto de reclamación por COBRALIA en nombre y por cuenta de MELF era titularidad de la entidad MADERAS XXXX, S.A., de la cual la denunciante únicamente ostentó la condición de apoderada y sus datos figuraban como tal en el fichero de MELF.

Deber de confidencialidad de los datos personales

El art. 5.1.f) del Reglamento 2016/679/UE, de 27 de abril, establece que los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad).

Este deber de confidencialidad:

  • Será complementario de los deberes de secreto profesional de conformidad con su normativa aplicable (art. 5.2 de la LOPD-GDD/2018).

Respecto al deber de confidencialidad en las comunicaciones entre abogados se pronuncia la STSJ Asturias nº 192/2019 de 18 de marzo. [j 4]

  • Se mantendrá aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento (art. 5.3 de la LOPD-GDD/2018).
Consentimiento del afectado del tratamiento de sus datos personales Concepto de consentimiento

El art. 4.11 del Reglamento 2016/679/UE, de 27 de abril, define “consentimiento del interesado” como:

Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen (definición que recoge el art. 6.1 de la LOPD-GDD/2018).

La SAN de 2 de febrero de 2018, recurso nº 486/2015 [j 5] establece lo siguiente:

Es cierto que de la prueba testifical practicada se desprende que un empleado...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR