Uno de los aspectos básicos del RGPD y la LOPDGDD es la finalidad del tratamiento de datos personales. ¿En qué consiste este principio? ¿Cómo se aplica en la normativa? ¿Qué relación tiene con otros conceptos básicos de la ley como el consentimiento o las categorías especiales de datos? En este artículo lo vemos.
En este artículo hablamos de:
- ¿Qué se entiende como finalidad en el tratamiento de datos personales?
- ¿Quién debe respetar el principio de finalidad?
- La finalidad del tratamiento y la protección de datos
- ¿Qué ocurre en caso de que existan dos o más finalidades?
- ¿Se pueden guardar los datos una vez que se ha cumplido la finalidad?
- Incumplir el principio de finalidad es considerado falta muy grave en la LOPDGDD y el RGPD
¿Qué se entiende como finalidad en el tratamiento de datos personales?
La finalidad del tratamiento de los datos personales se refiere a los motivos, usos y objetivos que piensa aplicar el responsable o encargado del tratamiento, respecto a los datos personales recabados.
La finalidad responde a una base legal para el tratamiento. Es decir, debe existir una finalidad recogida por el RGPD o la LOPDGDD que legitime el tratamiento de los datos personales.
Dicho de otro modo, el principio de finalidad del tratamiento de los datos personales define por qué y para qué se recaban los datos de los interesados.
¿Quién debe respetar el principio de finalidad?
El cumplimiento de la finalidad del tratamiento es obligatorio para todos los responsables y encargados de protección de datos, así como para sus representantes. Esto incluye también a todos los agentes y proveedores de servicios de la sociedad de la información indicados en la LSSI-CE.
La finalidad del tratamiento y la protección de datos
La finalidad del tratamiento define las razones y objetivos del tratamiento, además de determinar la licitud del mismo. En este sentido, el artículo 6 del RGPD señala que la finalidad del tratamiento puede ser:
- La ejecución de un contrato del cual el interesado es parte, o para la aplicación de medidas precontractuales.
- El cumplimiento de una obligación legal por parte del responsable del tratamiento.
- La protección de intereses vitales del interesado-
- El cumplimiento de una misión de interés público.
- La satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre estos intereses no prevalezcan los derechos y libertades del interesado, en particular cuando este sea un menor de edad..
Consentimiento
El Reglamento General de Protección de Datos también contemple que el responsable pueda determinar su propio principio de finalidad del tratamiento de los datos personales. En este caso, se podrán concretar una o varias finalidades del tratamiento, pero siempre se deberá solicitar el consentimiento expreso del interesado.
El consentimiento para el tratamiento de datos personales no solo debe ser expreso, sino explícito, informado y voluntario, y ha de demostrarse por medio de una acción inequívoca, como puede ser marcar una casilla de verificación. Ya no sirve con el consentimiento tácito o por inacción.
Por ejemplo, imaginemos que una empresa quiere solicitar los datos de usuarios con objetivos de mercadotecnia. La finalidad del tratamiento, en este caso, podría ser la comunicación de promociones o el envío de ofertas comerciales. Para poder recabar los datos con esa finalidad, la empresa primero debe recabar el consentimiento explícito del usuario.
Categorías especiales de datos
El RGPD señala que está prohibido el tratamiento de categorías especiales de datos como pueden ser el origen étnico o racial, la afiliación sindical, la orientación sexual, las creencias religiosas, los datos genéticos o biométricos, u opiniones políticas, entre otros.
El tratamiento de estos datos de carácter personal quedará totalmente prohibido salvo que el interesado haya otorgado su consentimiento expreso para el uso de estos datos con una o varias finalidades, siempre y cuando no exista alguna ley del Derecho de la Unión o de los Estados miembros que anule este derecho del interesado.
Asimismo, el tratamiento de categorías especiales de datos podrá realizarse sin consentimiento del interesado cuando este sea necesario para el cumplimiento de las siguientes finalidades:
- La protección de los intereses vitales de la persona, en caso de que no tenga capacidad física o jurídica para otorgar su consentimiento.
- El tratamiento es realizado por una fundación, asociación u organización sin ánimo de lucro, siempre que la información sea de carácter político, filosófico o religioso, y se refiera a miembros actuales o antiguos de dicho organismo.
- El tratamiento se refiere a datos especialmente protegidos que el interesado ha hecho públicos voluntariamente.
- El tratamiento es necesario para el ejercicio de reclamaciones, o la defensa ante tribunales en un procedimiento judicial.
- El tratamiento responde a un interés público esencial o para la seguridad de la salud pública.
En cualquier caso, quienes traten categorías especiales de datos, sobre todo si es a gran escala, están obligados a realizar una evaluación de impacto y a nombrar un Delegado de Protección de Datos.
Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales
El tratamiento de datos de contacto o relativos al puesto o función que una persona física desempeña en una persona jurídica debe responder a la finalidad de mantener relaciones de cualquier tipo con la persona jurídica en la que el titular de los datos preste sus servicios. Asimismo, solo se podrán tratar aquellos datos necesarios para su localización profesional.
Los mismos principios del párrafo anterior se aplican para los empresarios individuales o profesionales liberales, siempre y cuando se refieran a ellos en dicha condición y no sea un tratamiento destinado a entablar relaciones con ellos como personas físicas.
Finalidad en caso de videovigilancia
La ley de protección de datos personales señala que las personas físicas o jurídicas, tanto públicas como privadas, podrán tratar imágenes mediante sistemas de videovigilancia, con la finalidad de preservar la seguridad de personas, bienes e instalaciones. Estos datos solo podrán ser almacenados durante un mes.
En estos casos, solo se podrán tomar imágenes de la vía pública en la medida que resulte necesario para cumplir con la finalidad señalada en el punto anterior.
La ley también prevé que se puedan captar imágenes de la vía pública en una amplitud mayor a la anterior, en caso de que sea imprescindible para garantizar la seguridad de bienes e instalaciones estratégicas o vinculadas al transporte.
Datos bloqueados
En caso de que se vaya a proceder a rectificar o suprimir los datos a causa del ejercicio de sus derechos ARCO por parte del interesado, dichos datos han de ser bloqueados. Esto significa que se deben adoptar las medidas técnicas y organizativas necesarias para evitar su visualización.
Los datos bloqueados no podrán ser usados con ninguna otra finalidad que no sea su puesta a disposición de jueces, tribunales, administraciones o autoridades competentes, en caso de ser exigidos por alguno de estos organismos.
¿Qué ocurre en caso de que existan dos o más finalidades?
En caso de querer usar los datos para dos o más finalidades distintas, los responsables del tratamiento están obligados a solicitar el consentimiento expreso del interesado POR SEPARADO para cada una de ellas.
¿Se pueden guardar los datos una vez que se ha cumplido la finalidad?
No, el plazo de conservación de los datos termina una vez que se ha cumplido la finalidad para la que fueron recabados.
A partir de ese momento, solo se podrán guardar los datos, debidamente bloqueados, en el caso de ser solicitados por las autoridades u organismos pertinentes en el ejercicio de reclamaciones o defensa en procedimientos judiciales.
Incumplir el principio de finalidad es considerado falta muy grave en la LOPDGDD y el RGPD
El repetido incumplimiento del principio de finalidad del tratamiento está considerado por el RGPD y la LOPDGDD como una falta muy grave. Para este tipo de infracciones, el reglamento europeo de protección de datos impone unas multas que pueden llegar a los 20 millones de euros o el 4% de la facturación del último ejercicio.
Por tanto, recuerda que solo se podrán tratar los datos por lo motivos que te hemos indicado a lo largo del artículo, que debes informar a los titulares de los datos sobre la finalidad del tratamiento y, además, llevar un registro de las actividades de tratamiento.