Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

¿Qué es el tratamiento de datos personales y qué tipos existen?

El tratamiento de datos personales es toda aquella operación realizada con los datos de una persona que puedan identificarla o hacerla identificable.

En este artículo explicaremos en profundidad qué se entiende por tratamiento de datos personales, qué tipos de tratamiento de datos existen y quién realiza estos tratamientos.

¿Qué es tratamiento en datos personales?

El tratamiento de datos personales es toda acción o conjunto de acciones realizadas sobre toda información que permita identificar a una persona física realizado por otra persona física o jurídica, como es la recogida, registro, almacenamiento o uso de datos personales.

Por lo tanto, cualquier manejo de datos personales por parte de una entidad o profesional, como, por ejemplo, recogida y almacenamiento con diferentes fines de nombre, apellidos, dirección postal o de correo electrónico, imagen, número de teléfono, etc., se considera un tratamiento de datos personales.

El tratamiento de datos personales en el RGPD

El tratamiento de datos personales en RGPD (Reglamento General de Protección de Datos) se define en el artículo 4 como:

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

¿Quiénes realizan tratamientos de datos personales?

Con carácter general, cualquier persona física o jurídica puede realizar un tratamiento de datos personales en algún momento; por ejemplo, cuando subimos una fotografía con nuestros amigos a una red social, estamos tratando datos personales o cuando hacemos una lista de contactos con números de teléfono, dirección de email y nombres, estamos tratando datos personales. Sin embargo, según la Ley de Protección de Datos Personales, no todos estos tratamientos estarían sometidos a sus obligaciones, ya que estas no se aplican cuando el tratamiento se lleva a cabo dentro de un ámbito personal o doméstico, como los citados.

Fuera de ese ámbito doméstico, y especialmente cuando el tratamiento de datos se realiza en el desempeño de una actividad comercial, contractual, de seguridad, administrativa, etc., quienes realizan los tratamientos de datos personales son el responsable del tratamiento de datos personales y, cuando este cede esos datos personales a un tercero para llevar a cabo algún servicio contratado, el encargado del tratamiento de datos.

Responsables y encargados del tratamiento tienen una serie de obligaciones que cumplir respecto a los datos que tratan, entre las que se encuentran garantizar la seguridad y privacidad de los datos, informar del tratamiento a los interesados (los titulares de los datos), recabar el consentimiento para el tratamiento de datos cuando no hay otra base jurídica que legitime dicho tratamiento, llevar un registro de actividades de tratamiento, realizar el análisis de riesgos y, en su caso, la evaluación de impacto en protección de datos (EIPD), notificar brechas de seguridad y responder a las solicitudes de derechos de los interesados.

Si bien, comparten estas obligaciones, también existen diferencias entre encargado y responsable del tratamiento de datos personales, relacionadas con cómo deben cumplir esas obligaciones.

tarifas proteccion datos

¿Qué tipos de tratamiento de datos personales existen?

Existen diferentes tipos de tratamiento personales, entre los principales están:

  • Recabar datos personales (por ejemplo, al rellenar un cuestionario o formulario web)
  • Registrar, organizar y almacenar datos personales (cuando se incluyen en un fichero estructurado)
  • Modificar datos personales (cuando es necesario cambiar la información personal guardada)
  • Consultar datos personales (cuando acudimos a una base de datos)
  • Publicar datos personales (por ejemplo, listas de admitidos en un colegio)
  • Borrar o destruir datos
  • Usar datos personales (por ejemplo, para la elaboración de perfiles de usuarios)
  • Etc.

Como dijimos, cualquier operación o acción realizada sobre datos personales o un conjunto de datos personales, se considera un tratamiento.

Pero también existe otra forma de clasificar los tratamientos de datos personales, una que los responsables y encargados del tratamiento deben tener en cuenta, puesto que influye en las medidas de seguridad a implementar e, incluso, si el tratamiento debe ser o no llevado a cabo.

Nos referimos a clasificar los tratamientos de datos personales en función de si es necesario o no realizar una EIPD antes de proceder con ellos. En su momento, la AEPD facilitó una guía en la que se recogen estas clasificaciones, aunque hay que tener en cuenta que no se trata de listados exhaustivos:

  • Tratamientos de datos que no requieren una EIDP:
    • Tratamientos que se llevan a cabo bajo directrices establecidas o autorizadas previamente por circulares o decisiones emitidas por las Autoridades de Control (en España, la AEPD).
    • Tratamientos que se hacen bajo directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control.
    • Tratamientos necesarios para el cumplimiento de una obligación legal, una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
    • Tratamientos hechos en el desempeño de su actividad profesional por autónomos que ejerzan de forma individual.
    • Tratamientos obligatorios por ley para la gestión interna de pymes con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral (excluidos los datos de clientes).
    • Tratamientos hechos por comunidades de propietarios definidos en el artículo 2, letras a, b y d de la Ley de Propiedad Horizontal.
    • Tratamientos hechos por colegios profesionales y asociaciones sin ánimo de lucro para gestionar los datos personales de sus propios asociados y donantes, en el ejercicio de su labor, y siempre que no se trate de datos de categorías especiales.
  • Tratamientos de datos en los que se debe hacer una EIDP:
    • Perfilado o valoración de personas, incluida la recogida de datos en múltiples ámbitos de su vida, que cubran varios aspectos de su personalidad o sobre sus hábitos.
    • Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a ello.
    • Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos con los que se pueda identificar a los usuarios de servicios de la sociedad de la información (por ejemplo, apps).
    • Tratamientos de datos de categorías especiales (o que permitan deducir información sobre ellos), datos relativos a condenas o infracciones penales o datos que permitan determinar la situación financiera o de solvencia patrimonial.
    • Tratamientos de datos biométricos con el propósito de identificar de manera única a una persona física.
    • Tratamiento de datos genéticos.
    • Tratamientos que impliquen el uso de datos a gran escala.
    • Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o responsables del tratamiento distintos.
    • Tratamientos de datos de personas vulnerables o en riesgo de exclusión social, de menores de 14 años, mayores de esa edad con algún grado de discapacidad, discapacitados, usuarios de servicios sociales y víctimas de violencia de género, así como sus descendientes y personas bajo su guarda y custodia.
    • Tratamientos que impliquen el uso de nuevas tecnologías o uso innovador de tecnologías consolidadas y que pueda suponer nuevas formas de recogida y uso de datos personales con riesgo para los derechos y libertades de las personas.
    • Tratamientos de datos que impiden a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.

Ejemplo de tratamiento de datos personales

Un ejemplo de tratamiento de datos personales es la recogida del nombre y la dirección de correo electrónico a través de un formulario web, de aquellos usuarios interesados en recibir más información sobre un producto o servicio o que esperan en que el profesional o empresa detrás de la web se ponga en contacto con ellos.

Esa recogida es ya un tratamiento de datos personales. El siguiente tratamiento es su almacenamiento en una base de datos del titular de la web. Se produciría otro tratamiento cuando el usuario revoque su consentimiento para el tratamiento y el responsable del tratamiento procediera a suprimir sus datos de la base datos.

En definitiva, prácticamente cualquier empresa, organización o profesional realiza algún tipo de tratamiento de datos personales, incluso las personas, en su día a día, tratan con datos personales, aunque no están obligadas a cumplir con la normativa de protección de datos como las primeras.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.