Pesca auxgest general tema 4

51. Según el RGPD, se considera dato personal cualquier información que: Permita únicamente un análisis estadístico o agregación anónima, sin que sea posible, ni siquiera con medios adicionales razonables, identificar a una persona física. Corresponda exclusivamente a entidades jurídicas y se refiera a su estructura organizativa, actividad económica o información fiscal corporativa. Haga posible directa o indirectamente la identificación de una persona física, ya sea por referencia a un identificador o a uno o varios elementos propios de su identidad física, fisiológica, genética, económica, cultural o social. Consista en códigos internos, claves operativas o identificadores técnicos cuyo diseño no esté vinculado expresamente a la identidad del sujeto afectado.

52. El principio de minimización de datos, según el RGPD, exige que el responsable del tratamiento: Recoja también datos adicionales que, aun no siendo estrictamente necesarios, puedan resultar útiles para futuras finalidades compatibles. Limite la recogida y el tratamiento exclusivamente a los datos adecuados, pertinentes y estrictamente necesarios para la finalidad concreta declarada. Amplíe la información solicitada cuando la incorporación de más variables permita un análisis más preciso o facilite la elaboración de perfiles estadísticos. Recoja datos complementarios para documentar la diligencia del responsable y demostrar cumplimiento en el marco del principio de responsabilidad proactiva.

53. El principio de exactitud de los datos personales, recogido en el RGPD, implica que: Los datos pueden mantenerse desactualizados cuando provengan de fuentes formales o registros públicos, dado que su origen garantiza su validez jurídica. Se adopten las medidas necesarias para corregir sin dilación aquellos datos personales que resulten inexactos o incompletos, asegurando que se ajustan a la finalidad del tratamiento. Los datos personales se conserven tal como fueron obtenidos inicialmente, evitando su supresión incluso en caso de que se demuestre su desactualización o imprecisión. El responsable no tenga obligación de revisión periódica de la información, siempre que el interesado no solicite expresamente la rectificación de sus datos.

54. En el modelo de información por capas previsto por el RGPD, la denominada "primera capa” debe contener, como mínimo: La totalidad de la política de privacidad del responsable, incluyendo el detalle completo de las bases jurídicas, plazos de conservación y destinatarios previstos. Únicamente la referencia a la base jurídica aplicable conforme al artículo 6 del RGPD, sin necesidad de aportar más información en esta fase inicial. La identificación del encargado de seguridad o de la persona que gestione los sistemas internos de protección de datos de la organización. La identidad del responsable del tratamiento, la finalidad principal del tratamiento y la indicación de los derechos esenciales que asisten al interesado conforme al RGPD.

55. El derecho de acceso reconocido en el artículo 15 del RGPD garantiza al interesado la posibilidad de: Consultar únicamente un conjunto limitado de datos básicos, excluyendo información adicional relativa a las finalidades del tratamiento o a los destinatarios. Obtener la confirmación de si se están tratando o no sus datos personales, así como acceder a dichos datos y recibir copia de ellos junto con la información complementaria prevista en el artículo 15 del RGPD. Proceder a la modificación automática de los datos sin necesidad de intervención del responsable, siempre que detecte cualquier discrepancia o error en la información tratada. Transferir libremente los datos personales a terceros a su elección sin necesidad de solicitarlo al responsable, por ser una consecuencia directa del derecho de acceso.

56. El derecho de rectificación reconocido en el RGPD permite al interesado exigir al responsable que: Modifique o complemente los datos personales que resulten inexactos o incompletos, aportando la documentación acreditativa necesaria cuando proceda. Proceda a la eliminación total del tratamiento aun cuando los datos sean exactos, por el mero deseo del interesado de que no figuren en los sistemas del responsable. Cese el tratamiento de los datos cuando el responsable considere que los mismos ya no resultan de utilidad, incluso sin solicitud expresa del interesado. Modifique los datos personales únicamente cuando exista una obligación contractual que lo exija, independientemente de que los datos sean incorrectos.

57. El ejercicio del derecho de supresión previsto en el artículo 17 del RGPD procede cuando: El responsable estime, por criterios internos de eficiencia o reorganización, que la eliminación de los datos resulta conveniente para la gestión del tratamiento. Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados, dejando de existir la base jurídica que legitimaba su tratamiento. El interesado solicite en cualquier circunstancia la eliminación de sus datos, con independencia de la existencia de obligaciones legales de conservación o de fines legítimos que exijan mantenerlos. Los datos posean valor histórico, científico o administrativo, lo que justifica su eliminación para evitar un uso inadecuado o interpretaciones erróneas.

58. El derecho de oposición, conforme al artículo 21 del RGPD, faculta al interesado para: Solicitar que el responsable cese cualquier operación de tratamiento sobre sus datos, con independencia de la base jurídica utilizada o de los intereses legítimos en juego. Negarse al tratamiento de sus datos personales cuando este se base en el interés público o en el interés legítimo del responsable, incluido el perfilado relacionado con imperiosos. Resolver unilateralmente cualquier contrato celebrado con el responsable cuando discrepe del modo en que se tratan sus datos personales. Limitar el acceso de terceros autorizados a sus datos cuando considere que el tratamiento puede generar efectos no deseados o interpretaciones incorrectas.

59. En el ámbito de la protección de datos, existe una decisión individual automatizada cuando: La decisión que afecta al interesado se adopta exclusivamente mediante procesos automatizados, sin intervención humana significativa, y produce efectos jurídicos o le afecta de manera similar de forma apreciable. Se consulta una base de datos automatizada, aunque la decisión final sea adoptada por un empleado que revisa y valida la información. La decisión se basa en un algoritmo, pero el responsable realiza una comprobación formal posterior para confirmar que el resultado no contiene errores aparentes. El interesado participa en el proceso aportando información adicional o manifestando preferencias que influyen parcialmente en el resultado del tratamiento.

60. Para que una decisión individual automatizada sobre datos personales sea lícita conforme al RGPD, es necesario que: Exista consentimiento tácito del interesado o que la medida esté vinculada de manera general a la ejecución de un contrato, sin requerir garantías adicionales. Exista consentimiento explícito del interesado, o bien sea necesario para la celebración o ejecución de un contrato, o esté amparada por una norma habilitante que prevea salvaguardias adecuadas para los derechos y libertades del afectado. Sea suficiente con que el interesado haya sido informado verbalmente de que el tratamiento puede incluir decisiones automatizadas, sin necesidad de establecer mecanismos adicionales. El responsable notifique previamente a la autoridad de control su intención de aplicar sistemas automatizados, quedando dispensado de obtener consentimiento o justificar otra base legal.

61. La obligación de transparencia en la información sobre protección de datos implica que esta debe presentarse: Redactada en un formato altamente técnico y exhaustivo, de manera que permita reflejar íntegramente la complejidad del tratamiento y su base jurídica. Facilitada exclusivamente en soporte físico para garantizar la validez documental y el acceso permanente a la información. Redactada con terminología jurídica especializada para asegurar precisión normativa, aunque resulte menos accesible para el interesado medio. Clara, concisa, fácilmente comprensible y accesible para el interesado, permitiendo conocer el tratamiento sin interpretaciones técnicas o jurídicas complejas.

62. Cuando los datos personales se obtienen de fuentes distintas al propio interesado, el responsable del tratamiento está obligado a: Considerar que la información ya es conocida por el afectado si proviene de fuentes accesibles al público, por lo que no resulta necesario facilitarle ninguna comunicación adicional. Facilitar información al afectado sobre el tratamiento de sus datos dentro de un plazo razonable, según art. 14 Reglamento General de Protección de Datos. Suprimir sin más los datos obtenidos de terceros salvo que el interesado confirme expresamente su interés en mantener el tratamiento. Recabar el consentimiento previo del afectado antes de iniciar cualquier tratamiento cuando los datos procedan de un tercero, independientemente de la base jurídica aplicable.

63. La limitación del tratamiento prevista en el artículo 18 del RGPD implica que los datos personales: Permanezcan conservados sin ser objeto de tratamiento activo, quedando restringidos mientras se verifica la exactitud, la licitud o la necesidad del tratamiento a petición o impugnación del interesado. Entenderse prestado si el interesado no manifiesta oposición expresa al tratamiento, siempre que el responsable haya informado previamente de su intención de utilizar los datos. Considerarse válido cuando un profesional jurídico u otra persona experta valida la idoneidad del tratamiento en nombre del interesado. Obtenerse mediante casillas premarcadas o mecanismos que presuponen la aceptación, siempre que el interesado pueda desmarcarlas si no desea participar.