Es común que al momento de adaptar nuestra actividad comercial o empresarial, a la normativa que regula la protección de datos personales, nos encontremos con ciertos términos desconocidos y poco frecuentes; siendo fundamental entenderlos y tener una idea clara y sencilla de los mismos, para poder entender cuáles son los recursos con los que cuenta la normativa y que pueden ser utilizados por las personas interesadas.
En el presente artículo enumeraremos algunos términos –no todos- que son los más frecuentes al tratar esta materia y nos dan una idea general sobre lo que trata, y busca proteger la normativa.
Entre éstos términos tenemos:
Dato personal: Es cualquier información sobre una persona física viva identificada o identificable, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Datos sensibles o especialmente protegidos: Es aquella categoría de datos que requieren una mayor protección ya que su tratamiento podría generar efectos frente a los derechos y libertades fundamentales de los interesados.
En esta categoría de datos encontramos aquellos que guardan relación con el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud o a la vida sexual y/o la orientación sexual, datos relativos a la comisión de infracciones penales o administrativas.
Como regla general la ley, en protección a los derechos de los interesados, prohíbe su tratamiento, salvo ciertas excepciones que se encuentran detalladas en el artículo 9 apartado segundo.
Tratamiento: Consiste en aquellas operaciones que procuran identificar la categoría de datos personales que están siendo manejados por una persona física o jurídica para que mediante procedimientos manuales o automatizados se obtenga, registre, organice, estructure, conserve, adapte, modifique, extraiga, consulte, utilice, comunique o se destruyan datos personales.
Registro de Actividades de Tratamiento: Consiste en un registro interno que haga el responsable sobre los tratamientos que se efectúan en una determinada actividad o proyecto. Así también cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable.
Responsable de Tratamiento: Persona física o jurídica, autoridad pública, servicio u otro organismo, que solo o conjuntamente con otros determine los fines y medio del tratamiento.
Encargado de Tratamiento: Persona física o jurídica, autoridad pública, servicio u otro organismo que, trate datos personales por cuenta del responsable del tratamiento.
Corresponsable de Tratamiento: Se considerará que existe corresponsabilidad en el tratamiento cuando dos o más responsables de tratamiento de manera conjunta, determinan los objetivos y los medios del tratamiento, así como toman decisiones de mutuo acuerdo respecto a sus responsabilidades en apego a lo que determina el reglamento.
Seudonimización: Consiste en el acto mediante el cual se utiliza información adicional que permiten identificar al interesado sin utilizar datos denominativos. Por ejemplo en sustitución de los nombres de un cliente se coloca un código.
Consisten en las medidas técnicas y organizativas adoptadas, en cumplimiento a los requisitos exigidos por el RGPD, que buscan la protección de datos desde las primeras fases de la concepción de un proyecto.
En otras palabras, guarda relación con las medidas de protección que deben ser implementadas de manera inicial a la puesta en marcha de un proyecto, y que serán tomadas en cuenta a la hora de implementar un tratamiento. Por ejemplo cuando el propio tratamiento incorpore medidas para la minimización de datos, así como la seudoanonimización temprana de los datos personales.
Privacidad por defecto: Este principio hace referencia a que solo deberán ser objeto de tratamiento los datos que sean estrictamente necesarios para cada uno de los fines de tratamiento.
Es decir del conjunto de datos recogidos por el responsable de tratamiento para brindar un determinado servicio, deberán adecuarse a cada tratamiento aquellos datos que guarden relación con el fin correspondiente, de tal forma que no todos los tratamientos accedan a todos los datos, sino que actúen solo sobre aquellos que sean necesarios.
Evaluación de impacto: Análisis preliminar de los riesgos que un determinado proyecto pueda generar, y que afecten al derecho fundamental de protección de datos.
Este análisis busca identificar y gestionar los riesgos encontrados y adoptar medidas para eliminarlos o mitigarlos. La evaluación de impacto no se requiere en cada actividad de tratamiento, al contrario se requiere únicamente cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas.
Análisis de Riesgo: Con el fin de asegurar que la información se mantenga protegida, el RGPD atribuye la responsabilidad a los responsables y encargados del tratamiento de elaborar un análisis de riesgo con el fin de establecer las medidas de seguridad y control orientadas a cumplir los principios de protección desde el diseño y por defecto garantizando los derecho y libertades de las personas.
