¿Qué datos podemos tratar y en qué condiciones?

Respuesta

El tipo y la cantidad de datos personales que pueden tratar dependen de las razones del tratamiento (razón jurídica usada) y lo que quieran hacer con ello. Deben respetar varias normas clave, que incluyen las siguientes:

• los datos personales deben tratarse de forma lícita y transparente, garantizando la lealtad hacia las personas cuyos datos personales se están tratando («licitud, lealtad y transparencia»),
• deben tenerse fines específicos para el tratamiento de los datos e indicarse dichos fines a las personas al recopilar sus datos personales; no pueden recopilarse simplemente datos personales para fines indeterminados («limitación de la finalidad»),
• solo deben recopilarse y tratarse los datos personales que sean necesarios para cumplir esa finalidad («minimización de datos»),
• debe garantizarse que los datos personales sean exactos y estén actualizados, en relación con los fines para los que son tratados, y corregirlos en caso contrario («exactitud»),
• no se pueden seguir utilizando los datos personales para otros fines que no sean compatibles con la finalidad original de la recopilación,
• debe garantizarse que los datos personales no se conserven más tiempo del necesario para los fines para los que fueron recopilados («limitación del plazo de conservación»),
• deben establecerse garantías técnicas y organizativas apropiadas que garanticen la seguridad de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de la tecnología apropiada («integridad y confidencialidad»).

Ejemplo

Usted dirige una agencia de viajes. Cuando obtenga los datos personales de sus clientes, debería explicarles en un lenguaje claro y sencillo por qué necesita los datos, cómo los utilizará y durante cuánto tiempo tiene previsto conservarlos. El tratamiento debería adaptarse de forma que respete los principios clave de protección de datos.

Referencias

• Artículo 5, apartado 1 y considerando 39 del RGPD
• Grupo de trabajo del artículo 29, WP 203. Dictamen 03/2013 sobre la limitación del fin

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)