Calidad, información y consentimiento: los 3 principios generales que rigen la recogida de datos
Lo prometido es deuda, y en esta ocasión hablamos de cómo se realiza la recogida de datos de carácter personal y de cómo hay que informar a los afectados o solicitar su consentimiento para el tratamiento de los datos sin menoscabar sus derechos y, en definitiva, cumpliendo con la Ley.
Para ello, hay que cumplir con unos principios generales de la ley que marcan las pautas a las que deben atenerse todas las operaciones que implican el tratamiento de datos personales, desde la recogida de los mismos hasta la cancelación.
La recogida de datos debe regirse por los principios de:
– Calidad.
– Información.
– Consentimiento
Veamos en qué consisten estos principios:
1. ¿En qué consiste el principio de calidad en la recogida de datos de carácter personal?
El principio de calidad implica que los datos no puedan ser usados sino cuando lo justifique la finalidad para la que han sido recabados. También implica adoptar medidas para asegurar la veracidad de la información contenida en los datos almacenados.
a) Principio de adecuación o pertenencia.
Este principio indica que todas las empresas que recaben datos de sus trabajadores, proveedores y clientes deben haber establecido exactamente la finalidad y destino de los mismos. De esta forma, únicamente se solicitarán los datos estrictamente necesarios para el cumplimiento de tales objetivos.
Se tipifica como infracción grave iniciar la recogida de datos para finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.
b) Principio de legalidad.
La calidad de los datos en el momento de su recogida se refleja también en una prohibición expresa de la LOPD de recoger datos por medios fraudulentos, desleales o ilícitos. Queda absolutamente prohibido el tratamiento de los datos así obtenidos.
2. ¿En qué consiste el principio de información en la recogida de datos de carácter personal?
Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la procedencia o fuente de los mismos, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Sin embargo, cuando las empresas obtienen datos de fuentes accesibles al público para destinarlos a actividades de publicidad o prospección comercial, se reduce la información a suministrar. En estos casos únicamente se tiene que informar a los interesados o afectados de tres circunstancias:
a) Del origen de los datos.
b) De la identidad del responsable del tratamiento.
c) De los derechos que le asisten
Hay excepciones al deber de información respecto de los datos obtenidos de terceros o de fuentes de acceso público siempre y cuando:
a) Exista una ley que exima del deber de informar.
b) Que el tratamiento tenga fines históricos, estadísticos o científicos.
c) Que la información a los interesados resulte imposible o exija esfuerzos desproporcionados.
3. ¿En qué consiste el principio de consentimiento en la recogida de datos de carácter personal?
Se trata de un principio básico o central sobre el que gira todo el sistema de la protección de datos personales. El consentimiento significa otorgar la facultad a cada persona para decidir el tratamiento al que han de estar sometidos sus datos y a quién se le permite realizar ese tratamiento.
El principio general supone que para que una empresa pueda tratar datos de carácter personal de trabajadores, clientes y proveedores, ha de contar con el consentimiento de los mismos.
Además, este consentimiento de los titulares o interesados, necesario para el tratamiento, ha de reunir cuatro requisitos esenciales para considerarlo válidamente prestado:
a) Ha de ser consentimiento libre. No debe concurrir error, dolo, violencia o intimidación.
b) Ha de ser consentimiento específico. Referido siempre a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima des responsable del tratamiento.
c) Ha de ser consentimiento informado. De esta forma el afectado deberá conocer con antelación al tratamiento, la existencia del mismo, y las finalidades para las que se produce.
d) Ha de ser consentimiento inequívoco. No se puede presumir o deducir la existencia del consentimiento de la mera conducta o comportamiento del afectado. Es preciso que exista expresamente una acción y omisión que implique la existencia del consentimiento.
En relación al principio del consentimiento, cabe hacerse algunas preguntas importantes:
– ¿pueden los menores no emancipados consentir válidamente el tratamiento sobre sus datos personales sin necesidad del complemento de su representante legal?
En este sentido se ha distinguido entre los menores de edad con más de 14 años, que pueden realizar válidamente algunos actos y negocios jurídicos y el resto.
Como el código civil exceptúa de la representación legal a los actos referidos a derechos de la personalidad y otros que el hijo, de acuerdo con las leyes y con sus condiciones de madurez, puede realizar por sí mismo se considera que a esa edad se dispone de capacidad suficiente para consentir, por sí mismos, el tratamiento automatizado de sus datos de carácter personal. Respecto al resto de los menores de edad, que no alcancen los catorce años, no se ha pronunciado la Agencia española de protección de datos, pero se ha de atender a lo dispuesto en el mismo artículo del código civil para considerar las condiciones de madurez y en caso de duda entender necesario el consentimiento de sus representantes legales.
– ¿Cuándo ha de solicitarse el consentimiento?
La ley orgánica de protección de datos no establece expresamente si el consentimiento debe prestarse con carácter previo al tratamiento o si puede prestarse con posterioridad al mismo. Sin embargo, si puede deducirse de los principios inspiradores de la ley que con carácter general el consentimiento debe ser previo aunque excepcionalmente podría solicitarse a posteriori.
– ¿Qué forma ha de adoptar el consentimiento?
La regla general es la libertad en cuanto a la forma de recabar el consentimiento. Se exige de forma excepcional de que se recoja el consentimiento de forma expresa y, en algún caso, por escrito en el régimen especial de los datos sensibles o especialmente protegidos. Es decir deberá contarse con el consentimiento expreso, aunque no se requiere que figure por escrito, cuando se recoja datos referidos al origen racial, salud y la vida sexual del afectado. De otro lado, además se deberá contar con el consentimiento por escrito cuando se recaben datos de ideología, afiliación sindical, religión y creencias.
El consentimiento tácito se entiendo como aquél que se deriva de la inactividad, silencio falta de oposición del afectado al tratamiento del que se le ha informado, no sirve para la cesión de datos y sólo cabe en el tratamiento de datos que no sean especialmente protegidos.
Por otro lado, aunque se admita el consentimiento tácito del afectado, se exige que sea un consentimiento inequívoco. Para ello será necesario que se otorgue al interesado un plazo prudencial para que conozca y comprenda que su falta de oposición al tratamiento implica un consentimiento del mismo por omisión.
– ¿En qué supuestos no es necesario recabar el consentimiento de los afectados?
a) Cuando los datos se recojan para el ejercicio de las funciones propias de las administraciones públicas en el ámbito de sus competencias.
b) Cuando los datos se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.
c) Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en el supuesto en que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.
d) Cuando los datos figuren en fuentes de acceso público y su tratamiento sea necesario para la satisfacción de interés legítimo perseguido por el responsable del fichero o por el tercero a quien se comuniquen los datos siempre que no se vulneren los derechos y libertades fundamentales del interesado. Para que una empres puede valerse de esta excepción tienen que darse tres requisitos:
1. Que se hayan obtenido los datos de una de las siguientes fuentes de acceso público; censo promocional; los repertorios telefónicos; las listas de personas pertenecientes a grupos profesionales; los diarios y boletines oficiales y los medios de comunicación.
2. Que se traten los datos para satisfacer un interés legítimo propio y ajeno.
3. Que el tratamiento no vulnere ningún derecho o libertad fundamental.
Aunque en estos casos no es necesario contar con el consentimiento de los interesados si es imprescindible informarles del origen de los datos, de la identidad del responsable del tratamiento, así como de los derechos que se asisten.
– ¿Cómo puede revocarse el consentimiento prestado?
Una vez que se obtenido el consentimiento del afectado hay que ser conscientes de que no se trata de un consentimiento a perpetuidad e irrevocable. Aunque la ley al otorgar al interesado la facultad de revocar su consentimiento le exige que exista una causa justificada para la revocación. En la práctica empresarial suele aceptarse como causa suficiente la mera manifestación de voluntad del interesado anulando el consentimiento prestado con anterioridad. También se establece que a la revocación no se le atribuirá efectos retroactivos por lo que todo el tratamiento o los actos que se hayan producido a consecuencia del mismo hay que entender serán perfectamente válidos y desplegarán toda su eficacia. Por tanto la revocación solo tiene efectos desde que llega a conocimiento del responsable del fichero.
– ¿Puede oponerse el afectado al tratamiento de datos personales?
Junto con la manifestación del consentimiento se prevé la posibilidad de manifestar la oposición al tratamiento de datos personales. Para oponerse al tratamiento se exige que existan motivos fundados y legítimos relativos a una concreta situación personal y ninguna ley disponga lo contrario. En estos casos el responsable del fichero excluirá del tratamiento los datos relativos al afectado sin coste alguno para este último.
Hemos visto, los principios de calidad, información y consentimiento por los que debe regirse la recogida de datos personales. En el próximo Post sobre LOPD, hablaremos de cómo aplicarlos y como deberemos recoger los datos personales, cumpliendo la Ley.