Buscar
Cerrar este cuadro de búsqueda.

Estándares y buenas prácticas

En este epígrafe nos referimos a los estándares y buenas prácticas internacionales y no a las normas corporativas vinculantes o códigos de buenas prácticas a las que se pueden vincular las personas jurídicas, como veremos en el tema 1.9, y que sirven de un mayor compromiso con la protección de datos personales y una prueba de  un mejor cumplimiento de la normativa aplicable.

Como modelo de estándares internacionales y buenas prácticas en relación a la protección de datos debemos acudir a la propuesta Conjunta para la Redacción de Estándares Internacionales para la protección de la Privacidad, en relación con el Tratamiento de Datos de carácter personal, acogida favorablemente por la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada el 5 de noviembre de 2009 en Madrid.

Reconocía el entonces Director de la AEPD Artemi Rallo Lombarte que la labor conjunta de los garantes de la privacidad de casi cincuenta países, bajo coordinación de la Agencia Española de Protección de Datos, ha desembocado en un texto que trata de plasmar los múltiples enfoques que admite la protección de este derecho, integrando legislaciones de los cinco  continentes.  Su  carácter  consensuado  aporta  dos  valores  añadidos  esencialmente

novedosos: de un lado, enfatiza la vocación universal de los principios y garantías que configuran este derecho; del otro, reafirma la factibilidad de avanzar hacia un documento internacionalmente vinculante, que contribuya a una mayor protección de los derechos  y libertades individuales en un mundo globalizado, y por ello, caracterizado por las transferencias internacionales de información.

Origen

 

La  30ª  Conferencia Internacional  de  Autoridades  Protección  de  Datos  y Privacidad adoptó en Estrasburgo unánimemente la Resolución relativa a la urgente necesidad de proteger la privacidad en un mundo sin fronteras, y de alcanzar una propuesta conjunta para el establecimiento de estándares internacionales sobre privacidad y protección de datos personales.

En la Resolución, la Conferencia recuerda que diversas Declaraciones y Resoluciones adoptadas durante los últimos diez años tienen por objeto reforzar el carácter universal del derecho a la protección de datos de carácter personal y de la privacidad, y realizan un llamamiento para el desarrollo de un convenio universal para la protección de las personas con respecto al tratamiento de datos personales.

Además, la Resolución indicaba que la Conferencia Internacional considera el derecho a la protección de datos y a la privacidad como un derecho fundamental de las personas, con independencia de su nacionalidad o residencia, al tiempo que constata que las diferencias persistentes en materia de protección de datos y respeto de la privacidad en el mundo, y especialmente debido al hecho de que muchos Estados no han aprobado todavía leyes adecuadas, perjudican los intercambios de datos personales y la puesta en práctica de una protección de datos efectiva y global.

Por ello, la Resolución expresa la convicción de la Conferencia de que el reconocimiento de  estos  derechos  pasa  por  la  adopción  de  un  instrumento  legislativo  universal  y vinculante, que haga uso, consagre, y complemente los principios comunes de protección de datos y de respeto a la privacidad enunciados en los diferentes instrumentos existentes, y que refuerce la cooperación internacional entre autoridades de protección de datos.

La  Resolución  mandató  a  la  Agencia  Española  de  Protección  de  Datos,  como

 

Autoridad organizadora de la 31ª Conferencia Internacional, a crear un Grupo de Trabajo compuesto por las autoridades de protección de datos interesadas, con el objetivo de elaborar y presentar una Propuesta Conjunta para la Redacción de Estándares Internacionales para la Protección de la Privacidad y de los Datos de Carácter Personal.

La Resolución incluye una lista de criterios que deben presidir el proceso de elaboración de esta Propuesta Conjunta y, en particular, que debe desarrollarse fomentando una amplia participación de entidades y organizaciones tanto públicas como privadas, con el fin de lograr el más amplio consenso institucional y social.

De acuerdo con este mandato, la Agencia Española de Protección de Datos estableció el Grupo de Trabajo a que se refiere la Resolución y ha promovido y coordinado los trabajos destinados a la elaboración de una la Propuesta Conjunta para la Redacción de Estándares Internacionales.

Según los criterios y metodología expuestos por la Resolución de Estrasburgo y acordados por el Grupo de Trabajo, la Agencia Española de Protección de Datos llevó a cabo una intensa actividad, elaborando sucesivos documentos de trabajo en cuya redacción se han incorporado las contribuciones de Autoridades de Protección de Datos y Privacidad y otras entidades públicas relacionadas con la protección de datos, a como de expertos procedentes de empresas, la profesión jurídica, el mundo académico y organizaciones internacionales y no gubernamentales.

En particular, el Grupo de Trabajo ha elaborado la Propuesta Conjunta para la Redacción de Estándares Internacionales para la Protección de la Privacidad en relación con Tratamiento de Datos de Carácter Personal que resultan comunes a los diferentes texto legales, directrices o recomendaciones de alcance internacional que han recibido un amplio consenso en sus respectos ámbitos geográficos, económicos o legales de aplicación.

La Propuesta Conjunta se ha elaborado asumiendo que todos estos principios y enfoques comunes aportan elementos de valor en la defensa y la mejora de la privacidad e información personal, con el objetivo de ampliarlos mediante soluciones y disposiciones específicas que podrían  aplicarse  independientemente  de  las  diferencias  que  puedan  existir  entre  los diferentes modelos existentes de protección de datos y privacidad.

En la Resolución de Madrid sobre estándares internacionales de privacidad han sido los siguientes:

o Agencia Española de Protección de Datos

o Comisario Federal de Protección de Datos y la transparencia (Suiza)

o Supervisor Europeo de Protección de Datos

o Comisión Nacional de la Informática y de las Libertades (Francia)

o Comisario de Protección de Datos de Irlanda

o Oficina del Comisario de Privacidad de Canadá

o Oficina para la Protección de los Datos Personales (República Checa)

o Comisario Federal para la Protección de Datos (Alemania)

o Garante para la Protección de Datos Personales (Italia)

o Autoridad Holandesa de Protección de Datos

o Comisario de Privacidad de Nueva Zelanda

o Oficina del Comisario de Información (Reino Unido) Y los coproponentes:

o Agencia de Protección de Datos de Andorra

o Agencia Catalana de Protección de Datos

o Agencia de Protección de Datos de la Comunidad de Madrid

o Agencia Vasca de Protección de Datos

o Oficina del Supervisor de Protección de Datos la Isla de Man

o Inspección de Protección de Datos de Estonia

o Inspección Estatal de Protección de Datos (Lituania)

o Comisario para la Protección de Datos de Berlín (Alemania)

o Comisario de Protección de Datos de Schleswig-Holstein (Alemania)

o Director Nacional de Protección de Datos Personales (Argentina)

o Comisario de Protección de Datos (Malta)

o Comisión de la Informática y las Libertades (Burkina-Faso)

o Comisario de Protección de Datos Personales (Chipre)

o Defensor de la Protección de Datos (Finlandia)

o Comisario de Información (Eslovenia

o Autoridad Griega de Protección de Datos

 

Objeto

 

El objeto del Documento es:

  1. Definir un conjunto de principios y derechos que garanticen la efectiva y uniforme protección de la privacidad a nivel internacional, en relación con el tratamiento de datos de carácter personal; y
  2. b. Facilitar los flujos internacionales de datos de carácter personal, necesarios en un mundo globalizad

 

Definiciones

En el contexto del documento, se entenderá por:

  1. “Dato de carácter personal”: cualquier información concerniente a una persona física identificada o que pueda ser identificada a través de medios que puedan ser razonablemente utilizados.
  2. b. “Tratamiento”: cualquier operación o conjunto de operaciones, sean o no automatizadas, que se aplique a datos de carácter personal, en especial su recogida, conservación, utilización, revelación o supresión.
  3. “Interesado”: persona  física  cuyos  datos  de  carácter  personal  sean  objeto  de tratamiento.
  4. d. “Persona responsable”: persona física o jurídica, de naturaleza pública o privada que, sola o en compañía de otros, decida sobre el tratamiento
  5. e. ““Prestador de servicios de tratamiento”: persona física o jurídica, distinta de la persona responsable, que lleve a cabo un tratamiento de datos de carácter personal por cuenta de dicha persona responsable.

Ámbito de aplicación

  1. 1. El documento está dirigido a su aplicación a todo tratamiento de datos de carácter personal, total o parcialmente automatizado, o realizado de forma estructurada en caso contrario, llevado a cabo tanto por el sector blico como por el privado.
  2. 2. La legislación nacional aplicable podrá establecer que las disposiciones del Documento no sean de aplicación al tratamiento de datos de carácter personal realizado por una persona física en el ejercicio de actividades relacionadas exclusivamente con su vida privada y familiar

Medidas adicionales

  1. 1. Los Estados podrán completar el nivel de protección definido en el documento con otras medidas adicionales que garanticen una mejor protección de la privacidad en relación con el tratamiento de datos de carácter person
  2. 2. Las disposiciones del documento constituirán base apropiada para permitir las transferencias internacionales de datos de carácter personal, cuando éstas se realicen según lo indicado en el apartado 15 del documento

Excepciones

Los Estados podrán limitar el alcance de las disposiciones recogidas en los apartados 7 a 10 y 16 a 18 del documento cuando sea necesario, en una sociedad democrática, para preservar la seguridad nacional, la seguridad pública, la protección de la salud pública, o la protección de los derechos y las libertades de los demás. Tales limitaciones deberán estar expresamente previstas por el derecho interno, de tal modo que se establezcan sus límites y se prevean las garantías adecuadas para preservar los derechos de los interesados.

Principios básicos

Principio de lealtad y legalidad

  1. 1. Los tratamientos de datos de carácter personal se deberán realizar de manera leal, respetando la legislación nacional aplicable y los derechos y libertades de las personas, de conformidad con lo previsto en el documento y con los fines y principios de la Declaración Universal de Derechos  Humanos  y  del  Pacto  Internacional  de  Derechos  Civiles  y Políticos.
  2. 2. En particular, se considerarán desleales aquellos tratamientos de datos de carácter personal que den lugar a una discriminación injusta o arbitraria contra los interesados

Principio de finalidad

  1. 1. El tratamiento de datos de carácter personal deberá limitarse al cumplimiento de las finalidades determinadas, explícitas y legítimas de la persona responsable.
  2. 2. La persona responsable se abstendrá de llevar a cabo tratamientos no compatibles con las finalidades para las que hubiese recabado los datos de carácter personal, a menos que cuente con el consentimiento inequívoco del interesado

Principio de proporcionalidad

  1. 1. El tratamiento de datos de carácter personal deberá circunscribirse a aquéllos que resulten adecuados, relevantes y no excesivos en relación con las finalidades previstas en el apartado anterior.
  2. 2. En particular, la  persona  responsable  deberá  realizar  esfuerzos  razonables  para limitar los datos de carácter personal tratados al mínimo necesario

Principio de calidad

 

  1. 1. La persona responsable deberá asegurar en todo momento que los datos de carácter personal sean exactos, a como que se mantengan tan completos y actualizados como sea necesario para el cumplimiento de las finalidades para las que sean tratad
  2. 2. La persona responsable deberá limitar el periodo de conservación de los datos de carácter personal tratados al mínimo necesario De este modo, cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades que legitimaron su tratamiento deberán ser cancelados o convertidos en anónimos

Principio de Transparencia

  1. 1. Toda persona responsable deberá contar con políticas transparentes en lo que a los tratamientos de datos de carácter personal que realice se refiere.
    1. adoptar las medidas  necesarias  para  cumplir con  los  principios  y obligaciones establecidos en el documento y en la legislación nacional aplicable, y
    2. adoptar las medidas  necesarias  para  cumplir con  los  principios  y obligaciones establecidos en el documento y en la legislación nacional aplicable, y
    3. b. dotarse de aquellos mecanismos necesarios para evidenciar dicho cumplimiento, tanto ante los interesados como ante las autoridades de supervisión en el ejercicio de sus competencias, conforme a lo establecido en el apartado 23.
      1. 3. Cuando los datos de carácter personal hayan sido obtenidos directamente del interesado, la información deberá ser facilitada en el momento de la recogida, salvo que se hubiera facilitado con anterioridad.
      2. 4. Cuando los datos de carácter personal no hayan sido obtenidos directamente del interesado, la información deberá ser facilitada en un plazo prudencial de tiempo, si bien podrá sustituirse por medidas alternativas cuando su cumplimiento resulte imposible o exija un esfuerzo desproporcionado a la persona responsable.
      3. 5. Cualquier información que se proporcione al interesado deberá facilitarse de forma inteligible, empleando para ello un lenguaje claro y sencillo, y ello en especial en aquellos tratamientos dirigidos específicamente a menores de edad.
      4. 6. Cuando los datos de carácter personal sean recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones establecidas en el presente apartado podrán satisfacerse mediante la publicación de políticas de privacidad fácilmente accesibles e identificables, que incluyan todos los extremos anteriormente previsto
      5. b. dotarse de aquellos mecanismos necesarios para evidenciar dicho cumplimiento, tanto ante los interesados como ante las autoridades de supervisión en el ejercicio de sus competencias, conforme a lo establecido en el apartado 23.2. La persona responsable deberá facilitar a los interesados, al menos, información acerca de su identidad, de la finalidad para la que pretende realizar el tratamiento, de los destinatarios a los que prevé ceder los datos de carácter personal y del modo en que los interesados podrán ejercer los derechos previstos en el documento, así como cualquier otra información necesaria para garantizar el tratamiento leal de dichos datos de carácter personal.

Principio general de legitimación

  1. 1. Como regla general, los datos de carácter personal sólo podrán ser tratados cuando concurra alguno de los siguientes supuestos:
  2. Previa obtención del consentimiento libre, inequívoco e informado del interesado.

 

 

Artículos relacionados

Dónde encontrarnos

C/ Santiago 25, 4ºD
47001 Valladolid
Tel: 983 09 94 35
unojuridica@unojuridica.com

Nosotros

Contacto

Más información

Blog

2024 © UnoJurídica

Diseño web ValladolidDiseño y desarrollo web livire.es