La protección de datos personales es un pilar fundamental del derecho a la privacidad en la Unión Europea. El Reglamento RGPD y la LOPDGDD establecen principios estrictos sobre el tratamiento de la información personal, incluyendo el uso de datos bloqueados.
Uno de los principios clave en la normativa española es el artículo 32 de la LOPDGDD, que establece que los datos bloqueados no pueden ser tratados para ninguna finalidad distinta de las previstas en la ley. Este principio fue recientemente reforzado en un caso donde se impuso una sanción de 20.000 euros a un responsable del tratamiento (RT) por una infracción grave.
El caso: tratamiento indebido de datos bloqueados
Una reclamante, que había sido cliente de un responsable del tratamiento, solicitó la baja de su servicio y la supresión de sus datos. Conforme a la normativa, el RT procedió al bloqueo de los datos, impidiendo su tratamiento excepto para las finalidades legalmente previstas.
Tiempo después, la misma persona intentó darse de alta nuevamente para acogerse a una promoción exclusiva para nuevos clientes. Sin embargo, el RT le negó el acceso a dicha promoción basándose en la información bloqueada que evidenciaba su relación previa con la empresa.
Este uso de los datos bloqueados constituye un tratamiento sin base de legitimación, ya que dichos datos solo pueden utilizarse en los casos previstos por la ley: para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas. El acceso y uso indebido de los datos bloqueados por parte del RT resultó en la mencionada sanción de 20.000 euros.
Fundamentos legales:
Este caso reafirma la doctrina del TJUE respecto a la necesidad de contar con una base de legitimación clara para cualquier tratamiento de datos personales. En particular, la sentencia del TJUE en el caso C-673/17 (Planet49) refuerza la idea de que el consentimiento debe ser explícito y específico para cada tratamiento de datos.
Además, el Tribunal Supremo español ha sostenido en diversas resoluciones que el tratamiento de datos personales debe ceñirse estrictamente a los principios de limitación de la finalidad y minimización de datos, ambos recogidos en el artículo 5 del RGPD.
Lecciones que se deben aplicar en las empresas
Este caso pone de manifiesto la importancia de:
- Garantizar el cumplimiento estricto del principio de limitación de la finalidad. Los datos bloqueados no pueden utilizarse para fines comerciales o de marketing.
- Formar adecuadamente al personal sobre las restricciones en el tratamiento de datos bloqueados.
- Auditar periódicamente los procesos internos para evitar accesos indebidos a datos bloqueados.
- Asegurar que las políticas de privacidad sean claras y transparentes.
¿Tu empresa está preparada para cumplir con estas exigencias? Si no lo esta, contáctanos