¿Qué son los datos personales?

Toda persona, desde el nacimiento hasta la muerte, genera datos personales o «datos personales», es decir, información que concierne a esta persona y le permite ser identificada. Es el elemento básico de nuestra privacidad .

Con la entrada en vigor del Reglamento General de Protección de Datos el 25 de mayo de 2018, la definición adoptada es la siguiente: “cualquier información relativa a una persona física identificada o identificable ”.

Los datos personales están en el centro de Desafíos de GDPR. Es para garantizar la protección de los datos personales que se ha implementado tal regulación, ya que su uso tiene un impacto profundo en la privacidad de todos.

 

Algunas precisiones

Los datos personales pueden consistir en »  cualquier información «, tan pronto como se materialice, sea cual sea el medio, el origen, la vía de transmisión, física o digital.

Cuando realizamos trámites administrativos, compramos una propiedad, suscribimos un servicio, nos comunicamos por correo electrónico o en un foro, utilizamos una aplicación móvil o las herramientas digitales de nuestra empresa, generamos datos personales .

Para calificar como datos personales, la información en cuestión debe, por lo tanto, relacionarse con una persona física , a diferencia de personas jurídicas (empresas, sociedad, etc.).

Hay dos categorías de datos personales:

  • los que identifican directamente a una persona física (apellido, nombre)
  • aquellos que identifican indirectamente a una persona física (número de teléfono, matrícula, número de la seguridad social, dirección postal o de correo electrónico, voz, imágenes, etc.)

Por lo tanto, el término datos personales puede incluir una amplia gama de información, que va desde bases de datos CRM hasta cookies simples en un sitio web.

Tratamiento de datos personales

¿Qué es el tratamiento de datos personales?

«Procesamiento» es el término genérico utilizado en el GDPR para designar cualquier operación sobre datos personales. De hecho, el GDPR se aplica al procesamiento de datos personales.

Según la muy amplia definición que da el RGPD, se trata de cualquier operación que se realice sobre datos personales, como por ejemplo:

  • la colecta
  • el record
  • estructurando
  • el almacenamiento
  • extracción
  • modificación / rectificación
  • consulta
  • usar
  • Publicación
  • comunicación de transmisión
  • difusión o cualquier otra forma de prestación
  • emparejamiento e interconexión
  • limitación
  • borrado y destrucción

La consecuencia de esta definición tan amplia es dar un alcance muy amplio al GDPR. Básicamente, cualquier operación sobre datos personales, cualquiera que sea esta operación, es un procesamiento de datos personales que debe ser listado por el controlador, bajo la égida del Oficial de protección datos personales. Tenga en cuenta que un subcontratista (o proveedores de servicios) puede realizar el procesamiento de datos en nombre de la empresa en cuestión. En cuyo caso, será necesario redoblar la vigilancia e integrar a todos los actores en el proceso de cumplimiento de GDPR.

Tan pronto como una empresa procesa datos, surge un aspecto esencial: la empresa debe respetar un cierto número de derechos, concedida a los interesados ​​por el tratamiento de datos, cuando éstos lo soliciten.

Caso especial de recopilación de datos

A la hora de intentar definir qué son los datos personales, es fundamental abordar el tema de su recopilación .

¿Qué es la recopilación de datos?

La recogida de datos personales consiste, como su nombre indica, en la acción de recabar información personal sobre una o más personas y esto por cualquier medio (formulario, a mano durante una reunión física, base de datos de recuperación, etc.), cualquiera que sea la finalidad. (Marketing, RRHH, ventas, etc.).

La recopilación de datos es el primer paso cuando desea realizar el procesamiento (ya sea para negocios o internamente para Recursos Humanos).

La recopilación de datos tiene un gran impacto en su seguridad y en la protección de la privacidad de las personas. Es por eso que todas estas prácticas están estrictamente reguladas por el GDPR. De hecho, este último ha llegado a proporcionar un marco regulatorio para limitar la recopilación de datos personales abusivos y así garantizar la protección de sus datos GDPR.

Aquí es donde entra en juego el principio de la base jurídica (estamos pensando en particular en el consentimiento que juega un papel fundamental en el proceso de respeto de los derechos y libertades individuales).

¿Qué es el proceso de minimización?

En este sentido, el RGPD consagra el principio de minimización en la recogida de datos personales y establece que «los datos personales recogidos deben ser adecuados, relevantes y limitados a lo necesario en relación con los fines para los que se tratan».En otras palabras, las empresas ahora solo deben recopilar datos personales para fines específicos y en proporciones adecuadas para ellos. Por tanto, será obligatorio indicar el tipo de datos recogidos así como el motivo por el que es necesaria la recogida.Esto asegura una transparencia total entre el responsable del tratamiento , en el origen de la recopilación, el interesado y ofrece mejores garantías en términos de protección de datos.

Caso de uso

Tomemos dos ejemplos opuestos.

El GDPR indica que el registro, almacenamiento y consulta de datos personales son procesamiento de estos datos. Esto demuestra que cualquier operación, incluso completamente pasiva (consulta en un sitio web, etc.) puede dar lugar a una aplicación del RGPD .

Retención de datos

Segunda pregunta sobre la pregunta «¿Qué son los datos personales?» «: Retención de datos.

Mantener los datos personales en nuestro poder durante un período de tiempo limitado y razonable es obligatorio para garantizar su seguridad y actualización.

Ya sea la Ley de Protección de Datos o el RGPD, los dos textos acuerdan limitar la retención de datos personales a lo largo del tiempo. De hecho, indican que el almacenamiento debe ser proporcionado a la finalidad del tratamiento .

Algunos textos legales establecen un período de retención. En ausencia de estos, el responsable del tratamiento debe fijar un período proporcional al objetivo y al fin perseguido. Una vez transcurrido este plazo, el responsable del tratamiento debe eliminar y anonimizar los datos personales de las personas interesadas.

A continuación, se muestran algunos ejemplos de vida útil:

  • para los datos relacionados con la gestión de nóminas , el período máximo de retención es de 5 años
  • Los datos personales de un cliente potencial deben eliminarse si no ha respondido a ninguna solicitud durante al menos 3 años.