Conceptos

Dato personal. El Reglamento General de Protección de Datos (RGPD) define un dato de carácter personal como: “toda información sobre una persona física identificada o identificable («el afectado»)”.

La persona será identificable cuando su “identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Por lo tanto, se incluyen en esta definición los datos que por sí mismos conducen a la identificación y también las informaciones que por sí solas no lo hacen pero que recopiladas conjuntamente sí pueden llevar a la identificación de una determinada persona.

Estos datos pueden ser numéricos, alfabéticos, gráficos, fotográficos o acústicos, como por ejemplo un nombre, un número de identificación (el DNI, el pasaporte, el nº de la tarjeta sanitaria, etc.), la voz, la dirección postal y otros datos de localización (incluida la geolocalización), una fotografía, la firma electrónica, una dirección IP, o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de una persona (raza, sexo, huella dactilar, historial médico, información bancaria, etc.).

Tratamiento de datos. Cualquier actividad en la que estén presentes datos de carácter personal constituirá un tratamiento de datos, ya se realice de manera manual o automatizada, total o parcialmente, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Responsable del tratamiento. La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

Según la Política de Seguridad de la Información de la Diputación Foral de Gipuzkoa, corresponde, en general, a las Direcciones Generales la responsabilidad del tratamiento en el ámbito de sus competencias.

Principios aplicables al tratamieto de datos personales.

  • LICITUD, LEALTAD Y TRANSPARENCIA. Los datos personales serán tratados de manera lícita, leal y transparente en relación con el afectado.
  • LIMITACIÓN DE LA FINALIDAD. Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados de manera incompatible con dichos fines. No se considerará incompatible con los fines iniciales el tratamiento posterior de los datos con fines de archivo de interés público, fines de investigación científica e histórica o fines estadísticos.
  • MINIMIZACIÓN DE DATOS. Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  • EXACTITUD. Los datos personales serán exactos y si fuera necesario actualizados, adoptándose medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos a los fines para los que se tratan.
  • LIMITACIÓN DEL PLAZO DE CONSERVACIÓN. Los datos personales serán mantenidos de forma que se permita la identificación de los afectados no más tiempo del necesario para los fines del tratamiento. Podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo de interés público, fines de investigación científica e histórica o fines estadísticos, sin perjuicio de la aplicación de las correspondientes medidas técnicas y organizativas apropiadas.
  • INTEGRIDAD Y SEGURIDAD. Los datos personales serán tratados de manera que se garantice su adecuada seguridad, incluyendo la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, aplicando las medidas técnicas y de organización apropiadas.
  • RESPONSABILIDAD PROACTIVA. El responsable del tratamiento será responsable de cumplir estos principios y capaz de demostrar dicho cumplimiento

Derechos de la persona interesada. Para asegurar la protección y la privacidad de sus datos personales, la normativa otorga un conjunto de derechos al interesado, que se pueden ejercer frente al Responsable del tratamiento. Tales derechos son los siguientes: acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.

Consentimiento del interesado. Manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Se trata de una de las bases que legitiman llevar adelante un tratamiento.

El consentimiento es esencialmente revocable en cualquier momento, sin necesidad de condición alguna, si bien no afecta a la licitud de los tratamientos realizados hasta ese momento. (art.7.3. RGPD).

Encargado/a del tratamiento. Es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos por cuenta del Responsable del tratamiento. Por ejemplo, cuando la DFG encarga a un tercero (contratista, medio propio,...), un servicio que conlleva un tratamiento de datos personales.

La relación entre responsable y encargado deberá estar regulada en un contrato o instrumento jurídico.

Registro de actividades de tratamiento (RAT). El artículo 30 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD) establece la obligación de los Responsables de tratamiento y Encargados de tratamiento de datos de la creación y mantenimiento de un Registro de las Actividades de Tratamiento efectuadas bajo su responsabilidad.

Las actividades de tratamiento de datos personales cogen el relevo de los anteriormente conocidos como ficheros de datos personales.

La finalidad de este registro se basa en el principio de responsabilidad proactiva, uno de los principios fundamentales del RGPD. En términos prácticos, requiere que las distintas unidades responsables del tratamiento de datos personales analicen qué datos personales tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo, siendo una herramienta que permite tener una perspectiva general de todas las actividades de tratamiento de datos que la organización está llevando a cabo.

Delegado/a de protección de datos. Figura creada por el Reglamento General de Protección de Datos (RGPD), exigible en todas las Administraciones Públicas y ciertas entidades que, en el ámbito del responsable del tratamiento, contribuye a promover un adecuado cumplimiento de la normativa de protección de datos y velar porque se protejan los datos personales como uno de los derechos y libertades fundamentales de las personas físicas.

Delegado de Protección de Datos en la Diputación Foral de Gipuzkoa:
Departamento de Gobernanza
Ione Artola
dbo@gipuzkoa.eus