La maduración de las normativas europeas sobre protección de datos parece consolidar la siguiente idea: la sociedad en su conjunto atribuye cada vez más responsabilidad a quienes manejan datos personales como parte de su actividad productiva. A su vez, la prudencia, la cautela y las medidas de seguridad se convierten en atributos cada vez más apreciados en cualquier bien o servicio. De ahí que en la actualidad hablemos de profesionales y nueva cultura de protección de datos.

El Reglamento General de Protección de Datos (RGPD), la normativa sobre la materia más avanzada del mundo, establece un sistema de obligaciones para todos aquellos que necesiten trabajar con datos de carácter personal. El RGPD, en consecuencia, actúa como una suerte de memoria y bagaje colectivo, codificando todos los principios que a lo largo de los años han venido a construir la idea socialmente aceptada sobre privacidad y derechos sobre nuestros datos de carácter personal.

Nombremos algunos de estos principios:

• Transparencia
• Limitación de la finalidad
• Exactitud
• Plazo de conservación
• Confidencialidad e integridad
• Responsabilidad proactiva

Podríamos decir que la base argumentativa (en estricto Derecho) de estos principios se basa en que la utilización de los datos debe partir de cierta legitimación. La obtención de una “base legitimadora” tiene que ver con el cumplimiento de una serie de condiciones. Por ejemplo, el actor interesado debe haber manifestado clara e inequívocamente su consentimiento a que los datos que éste ha producido reciban X tratamiento.

Es decir, se establece que la auténtica legitimación (en este caso para la utilización de los datos) ocurre cuando el ciudadano es informado y otorga una autorización específica y totalmente libre. Por otra parte, parecen cobrar peso la circunstancias, en otras palabras, que ese tratamiento de los datos sea totalmente necesario, por ejemplo, para prestar un servicio que el usuario pretende contratar o para dar cumplimiento a otra normativa legal.

BASE LEGITIMADORA

Pero la base legitimadora se extiende un poco más allá. Hablaríamos de casos donde un interés vital, del poder público, etc. hace necesario el tratamiento de los datos. En sentido de lo anterior, nos encontraríamos con bases legitimadoras más o menos típicas en la Administración pública. Aquí veríamos la noción de interés público y obligatoriedad legal. Así, el escenario habitual dónde se ejerce un poder público qué involucra tratamiento de datos personales, estaría acompañado de alguna normativa con rango de ley que permita tal tratamiento. Hallamos estas situaciones en el acceso a información de la máxima protección, como los contenidos en un fallo judicial, una declaración de renta, un historial médico o una ficha policial.

En estos casos la diferencia se torna clara: El acceso o tratamiento de los datos no se fundamentaría en el consentimiento, sino en los atributos propios en el ejercicio del poder público. Naturalmente, el poder público no hace que sean menos restrictivos los condicionantes para el acceso a datos especialmente protegidos, como la orientación sexual o la pertenencia étnica (informaciones donde debe demostrarse que el acceso es necesario e ilícito).

Y en cualquiera de los casos el principio de transparencia jamás podrá verse comprometido. Es decir, la persona interesada debe estar siempre totalmente informada del tratamiento al que serán sometidos sus datos personales (finalidad, tiempo de conservación y los derechos que puede ejercer sobre ellos en cualquier momento), que además tendrá que tener totalmente identificado al responsable de dichos procesamientos.

En este aspecto, conviene nombrar un principio de la nueva cultura en protección de datos: la limitación de la finalidad. Cuando los datos son recolectados debe existir previa claridad sobre los fines. Que la legitimidad sea un requisito preestablecido también significa que la finalidad con la que van a ser tratados los datos (para la cual se otorgó el consentimiento) no puede cambiar posteriormente.

Pero la limitación de la finalidad viene asociada al principio de lealtad, según el cual el ciudadano debe poder confiar en que los datos entregados solo se utilizarán en los fines preestablecidos. Esto, de cierta forma, plantea la tantas veces comentada en este blog necesidad de importantes acciones pedagógicas enfocadas a administraciones, empresas y ciudadanos sobre los principios que rigen la protección de datos personales.

Dado que “base legitimadora”, “limitación de la finalidad”, “lealtad” y “transparencia” son elementos de la narración colectiva que requieren cierta implantación en la sociedad (cuando son aplicados a protección de datos) por parte de las autoridades competentes, en nuestro caso la Agencia Española de Protección de Datos (AEPD).

Respecto a lo anterior, la AEPD y la UNED acumulan varios años de experiencia a través de la articulación de la que posiblemente es la principal formación superior en el ámbito de la protección de datos de toda habla hispana, un esfuerzo que sin duda ha contribuido al necesario cambio en las culturas organizativas traído por el avance de la legislación. Recordemos que el Reglamento General de Protección de Datos (RGPD) se ha convertido, durante los últimos años, en el principal modelo a seguir en la materia por parte de nuestros socios más importantes, como América Latina.

MÁSTER EN EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD) DE LA UNED Y LA AEPD – RESERVA DE PLAZA