El título II de la Ley de Protección de datos regula una serie de principios los cuales constituyen la base a través de la cual se articula el derecho fundamental a la Protección de Datos de Carácter Personal. Estos principios son de obligado cumplimiento desde el primer momento en que tenemos una recogida de datos, siempre que esos datos sean almacenados en un fichero, informatizado, manual o parcialmente automatizado.
El responsable del fichero y el encargado del tratamiento deberán adoptar las medidas oportunas para que no haya una vulneración de estos principios. Además deben ser conocidos y respetados por todos los usuarios de ficheros con datos personales.
Veamos estos Principios de Protección de Datos.
Principio 1: Calidad de los datos
Este principio proporciona racionalidad y proporcionalidad en el tratamiento de los datos personales. Cabe resaltar lo siguiente:
- Sólo se deberán de recoger datos adecuados, pertinentes y no excesivos.
- Sólo podrán utilizarse para la finalidad inicial para la que se han recogido.
- Los datos deberán ser exactos y estar actualizados correspondiendo con la situación actual.
- Una vez que ya no sean necesarios o pertinentes para la finalidad inicial para la que se recogieron los datos, estos deberán de ser cancelados.
- Se debe permitir el derecho de acceso a los datos excepto cuando son legalmente cancelados.
- Nunca podrán recogerse datos por medios ilícitos.
Principio 2: Derecho de información en la recogida de datos
Siempre que se pidan datos personales se deberá informar de forma expresa, precisa e inequívoca al interesado, de las siguientes cosas:
- Que existe un fichero donde se almacenarán, para qué van a utilizarse los datos y quienes van a ser los destinatarios de la información.
- Si las preguntas que se les hacen son de obligada respuesta o no.
- Cuales son las consecuencias tanto de la obtención de los datos como de la negativa a proporcionarlos.
- La posibilidad que tendrán de ejercitar su derecho de acceso, rectificación, cancelación y oposición.
- De quién es y cual es la dirección del responsable del tratamiento.
Principio 3: Consentimiento del afectado
La ley de protección de datos exige la prestación del consentimiento previo e inequívoco para el tratamiento de los datos y dice lo siguiente:
- El tratamiento de datos de carácter personal obliga a la petición de un consentimiento inequívoco del afectado, excepto cuando la ley diga otra cosa, sean necesarios para funciones propias de la Administración o se utillicen para un contrato o precontrato de una relación laboral, de negocio o administrativa.
- Este consentimiento siempre podrá ser revocado sin hay una causa que lo justifique.
Principio 4: Datos especialmente protegidos
Son datos especialmente protegidos los que revelan la ideología, afiliación sindical, religión y creencias de una persona, origen racial, de salud y de vida sexual. Sólo con el consentimiento expreso y por escrito pueden ser objeto de tratamiento:
- Si se pide el consentimiento para recoger estos datos se debe advertir a su vez del derecho a no prestarlo.
- Solo podrán recogerlos sin consentimiento expreso los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, las cuales tienen finalidad política, filosófica, religiosa o sindical, sin perjuicio de que para la cesión de estos datos siempre será necesario el consentimiento previo.
- Para el resto de casos se necesita consentimiento expreso o una ley que así lo disponga.
- No obstante sí podrán ser objeto de tratamiento cuando sea necesario para la prevención o diagnóstico médico, la prestación sanitaria o la gestión de servicios sanitarios, siempre que estos tratamientos sean realizados por profesionales sanitarios.
Principio 5: Seguridad de los datos
- Se deberán adoptar medidas de índole técnica y organizativas para garantizar la
seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado.
- No se pueden registrar datos de carácter personal en ficheros que no tengan las condiciones que se determinen con respecto a su integridad y seguridad.
- Se determinarán las condiciones que deben reunir los ficheros y las personas que intervienen en el tratamiento de los datos.
Principio 6: Deber de secreto
Todos los que intervienen en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos, así como al deber de guardarlos. Estas obligaciones se mantienen incluso aunque se haya finalizado la relación con el titular o con el responsable del fichero.
Principio 7: Comunicación de datos
Una comunicación o cesión de datos se produce cuando los datos del afectado se comunican a un tercero. Son necesarios dos requisitos para que se produzca la cesión de datos personales:
- La cesión se realiza para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario.
- El consentimiento previo del interesado.
Pero existen algunos supuestos regulados en la LOPD para los que no es necesario el consentimiento:
- Cuando la cesión está autorizada por una ley.
- Cuando son datos recogidos de fuentes accesibles al público.
- Cuando el tratamiento responde a la libre y legítima aceptación de una relación
jurídica cuyo desarrollo, cumplimiento y control implica necesariamente la conexión de dicho tratamiento con ficheros de terceros.
Y en los casos que siguen, sólo limitado a la finalidad que la justifica:
- Cuando tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o las instituciones autonómicas, en el ejercicio de las funciones que tiene atribuidas.
- Cuando la cesión se produzca entre Administraciones públicas para el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
- Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
Principio 8: Acceso a los datos por cuenta de terceros
Se trata de la posibilidad de que los datos personales sean tratados por personal distinto a los usuarios de la propia organización del responsable del fichero, por encargo de él. Esa tercera persona pasa a ser el encargado de tratamiento, y presta servicios al responsable del fichero, siempre que dichos servicios tengan como objeto una finalidad lícita y legítima.
- No es una comunicación de datos si dicho acceso es necesario para prestar un servicio al responsable del tratamiento.
- La realización de tratamientos por cuenta de terceros estará regulada mediante un contrato, estableciéndose expresamente que el encargado del tratamiento sólo tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los utilizará para distinto uso al que figure en el contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En ese contrato se pactarán las medidas de seguridad que el encargado del tratamiento estará obligado a implementar.
- Al finalizar la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
- Si el encargado del tratamiento destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.