El tratamiento de datos personales se rige por el Reglamento (UE) 2016/679 (RGPD) y la LOPDGDD 3/2018. Establecen principios, bases de licitud, derechos de los interesados y la figura del Delegado de Protección de Datos.
1. Segun el Reglamento (UE) 2016/679 (RGPD), respecto a su aplicacion en los Estados miembros, cabe afirmar que:
El RGPD es un Reglamento de la UE directamente aplicable en todos los Estados miembros sin necesidad de transposicion, aplicable desde el 25 de mayo de 2018.
2. La Ley Organica 3/2018 (LOPDGDD) tiene como funcion principal:
La LOPDGDD (Ley Organica 3/2018, de 5 de diciembre) adapta el ordenamiento espanol al RGPD, lo complementa y regula la garantia de los derechos digitales; no lo sustituye.
3. Conforme al art. 4.1 del RGPD, se considera dato personal:
El art. 4.1 RGPD define dato personal como toda informacion sobre una persona fisica identificada o identificable, directa o indirectamente.
4. Una direccion IP o un identificador en linea asociado a un cliente, en el marco del RGPD, debe considerarse:
Una direccion IP o un identificador en linea puede ser dato personal si permite identificar a la persona directa o indirectamente (art. 4.1 RGPD; considerando 26).
5. Para admitir, cursar y entregar un envio, Correos trata el nombre y la direccion del destinatario. Estos datos:
El nombre y la direccion del destinatario son datos personales (art. 4.1 RGPD); su tratamiento por Correos esta sujeto al RGPD y debe respetar los principios del art. 5.
6. Un archivador fisico en papel, ordenado por clientes, con datos de envios, conforme al RGPD:
El RGPD cubre el tratamiento no automatizado cuando los datos estan o van a estar en un fichero (estructura organizada que permite el acceso); un archivador en papel ordenado por clientes esta sujeto (art. 2.1).
7. En el tratamiento de los datos de sus clientes y envios, la Sociedad Estatal Correos y Telegrafos S.A. actua como:
Correos, que decide para que y como se tratan los datos de clientes y envios, es responsable del tratamiento conforme al art. 4.7 RGPD.
8. Segun el art. 4.8 del RGPD, el encargado del tratamiento es quien:
El art. 4.8 RGPD define encargado como quien trata datos por cuenta del responsable, siguiendo sus instrucciones; la relacion se formaliza por contrato (art. 28).
9. Una empresa externa presta a Correos un servicio informatico y, para ello, trata datos de clientes por cuenta de Correos siguiendo sus instrucciones. Esta empresa actua como:
Quien trata datos por cuenta del responsable siguiendo sus instrucciones es encargado del tratamiento (art. 4.8 RGPD), formalizando la relacion mediante contrato (art. 28).
10. Correos contrata a un proveedor TIC y, ademas, codecide con otra entidad publica los fines y medios de un tratamiento conjunto. En este ultimo caso, ambas entidades son:
Cuando dos o mas responsables determinan conjuntamente los fines y medios del tratamiento son corresponsables (art. 26 RGPD); el proveedor TIC que trata por cuenta de Correos es encargado (art. 4.8).
11. Se denomina interesado (o afectado), en el ambito del RGPD, a:
El interesado es la persona fisica titular de los datos personales objeto de tratamiento; es quien puede ejercer los derechos (art. 4.1 RGPD; LOPDGDD).
12. Conforme al art. 29 RGPD, el encargado y cualquier persona que actue bajo la autoridad del responsable o del encargado:
El art. 29 RGPD establece que solo se tratan datos siguiendo las instrucciones del responsable, salvo obligacion legal; las instrucciones son vinculantes y existen limites internos de acceso.
13. Un empleado sustituye el nombre del cliente por un codigo y guarda la tabla de correspondencia aparte, protegida con medidas de seguridad. Conforme al RGPD, esta tecnica:
Es seudonimizacion (art. 4.5 RGPD): los datos siguen siendo personales y la informacion adicional debe figurar por separado y con medidas tecnicas y organizativas que impidan la atribucion.
14. A diferencia de la seudonimizacion, la anonimizacion irreversible de datos implica que:
Cuando los datos dejan de poder asociarse de forma irreversible a una persona identificable, son anonimos y quedan fuera del ambito del RGPD (considerando 26).
15. El art. 5.1 del RGPD recoge los principios relativos al tratamiento. Entre ellos NO figura:
El consentimiento no es un principio del art. 5, sino una de las bases de legitimacion del art. 6. Los principios son licitud-lealtad-transparencia, limitacion de la finalidad, minimizacion, exactitud, limitacion del plazo e integridad y confidencialidad.
16. El principio de licitud, lealtad y transparencia (art. 5.1.a RGPD) implica que el tratamiento debe ser:
El art. 5.1.a exige tratar los datos de manera licita (con base juridica), leal (sin engano ni perjuicio injustificado) y transparente (el interesado conoce que se hace con sus datos).
17. En el contexto del principio del art. 5.1.a RGPD, la transparencia significa que:
La transparencia no implica publicar datos, sino informar al interesado de manera concisa e inteligible sobre el tratamiento de sus datos (art. 5.1.a; arts. 12-14 RGPD).
18. Al admitir un envio, Correos informa al cliente de quien trata sus datos y con que finalidad. Con ello se da cumplimiento, fundamentalmente, al principio de:
Informar al interesado de quien trata sus datos y con que fin es una manifestacion del principio de transparencia (art. 5.1.a RGPD; arts. 12-13).
19. Conforme a los arts. 5.1.a y 6 del RGPD, un tratamiento es licito unicamente si:
Un tratamiento es licito solo si se ampara en al menos una base juridica del art. 6 (o art. 9 para categorias especiales); sin base valida es ilicito (arts. 5.1.a y 6 RGPD).
20. El principio de limitacion de la finalidad (art. 5.1.b RGPD) establece que los datos:
El art. 5.1.b exige recoger los datos con fines determinados, explicitos y legitimos, sin tratarlos ulteriormente de manera incompatible con esos fines.
21. Los datos de un cliente recogidos para entregar un envio se quieren usar despues, sin nueva base ni informacion, para una campana comercial ajena. Esta actuacion vulnera principalmente el principio de:
Usar para un fin incompatible (campana comercial ajena) datos recogidos para entregar un envio vulnera el principio de limitacion de la finalidad (art. 5.1.b RGPD).
22. Correos quiere usar los datos operativos de los envios para mejorar la calidad del servicio. Conforme al principio de limitacion de la finalidad y a la regla de compatibilidad (arts. 5.1.b y 6.4 RGPD), lo correcto es entender que:
El uso ulterior es licito si es compatible con el fin original (arts. 5.1.b y 6.4 RGPD): mejorar la calidad operativa puede ser compatible; venderlos a terceros no lo seria. La compatibilidad se valora con criterios.
23. Conforme al principio de minimizacion (art. 5.1.c RGPD), los datos deben ser:
El art. 5.1.c exige que los datos sean adecuados, pertinentes y limitados a lo necesario en relacion con los fines; no se recoge mas de lo imprescindible.
24. En el mostrador, al admitir un paquete para su entrega, conforme al principio de minimizacion lo procedente es solicitar:
La minimizacion (art. 5.1.c RGPD) exige pedir solo los datos necesarios para el fin; para entregar un paquete basta nombre y direccion del destinatario, sin datos superfluos.
25. En un formulario de contratacion de un servicio postal se configura para que, de forma predeterminada, solo se soliciten los datos imprescindibles del envio. Esta practica se vincula directamente con el principio de:
Pedir por defecto solo los datos imprescindibles responde al principio de minimizacion (art. 5.1.c RGPD), tambien recogido en la proteccion de datos por defecto (art. 25).
26. El principio de exactitud (art. 5.1.d RGPD) exige que:
El art. 5.1.d exige que los datos sean exactos y, si procede, actualizados, adoptando medidas razonables para suprimir o rectificar sin dilacion los inexactos respecto a los fines.
27. Un cliente comunica que la direccion registrada para su reparto es erronea. En aplicacion del principio de exactitud, Correos debe:
El principio de exactitud (art. 5.1.d RGPD) obliga a adoptar medidas razonables para rectificar sin dilacion los datos inexactos, como una direccion erronea de reparto.
28. El principio de limitacion del plazo de conservacion (art. 5.1.e RGPD) establece que los datos:
El art. 5.1.e exige mantener los datos de forma que permitan identificar a los interesados solo durante el tiempo necesario para los fines (salvo fines de archivo, investigacion o estadistica con garantias).
29. La conservacion de los datos de un envio ya entregado, conforme al principio del art. 5.1.e RGPD, debe realizarse:
El principio de limitacion del plazo (art. 5.1.e RGPD) exige conservar los datos solo el tiempo necesario para la finalidad y para atender obligaciones legales, no de forma indefinida; el plazo lo fija la finalidad o la ley.
30. El principio de integridad y confidencialidad (art. 5.1.f RGPD) exige tratar los datos de forma que:
El art. 5.1.f exige garantizar una seguridad adecuada de los datos, incluida la proteccion frente a tratamiento no autorizado o ilicito y frente a perdida, destruccion o dano accidental, mediante medidas tecnicas y organizativas.
31. Para cumplir el principio de integridad y confidencialidad sobre la base de clientes, una medida adecuada seria:
El art. 5.1.f se concreta en medidas tecnicas y organizativas adecuadas al riesgo, como el acceso restringido por perfiles y el cifrado de la informacion sensible.
32. El deber de confidencialidad regulado en el art. 5 de la LOPDGDD, en relacion con el principio del art. 5.1.f RGPD:
La confidencialidad es principio del tratamiento (art. 5.1.f RGPD) y deber personal de quienes intervienen (art. 5 LOPDGDD), que subsiste tras finalizar la relacion con el responsable.
33. El principio de responsabilidad proactiva (accountability), recogido en el art. 5.2 RGPD, implica que el responsable:
El art. 5.2 RGPD establece la responsabilidad proactiva: el responsable es responsable del cumplimiento de los principios y debe PODER DEMOSTRARLO; no basta con cumplir.
34. Correos documenta en un registro interno la finalidad, las categorias de datos e interesados y las medidas de seguridad del tratamiento de gestion de envios y reparto. Esta practica es una manifestacion del principio de:
Documentar el tratamiento para poder acreditar el cumplimiento (registro de actividades, art. 30 RGPD) es una manifestacion de la responsabilidad proactiva (art. 5.2 RGPD).
35. Para gestionar el contrato de un autonomo que es cliente, Correos trata su telefono profesional. Conforme a la LOPDGDD (art. 19), este tratamiento de datos de contacto profesional puede ampararse, salvo prueba en contrario, en:
El art. 19 LOPDGDD permite amparar en el interes legitimo, salvo prueba en contrario, el tratamiento de datos de contacto de empresarios individuales y profesionales liberales referidos a su condicion profesional. Siguen siendo datos personales.