Al tratar datos personales, seguiremos distintos principios para proteger los derechos y libertades fundamentales de las personas, de acuerdo con las BCR. Cada entidad debe cumplir con los siguientes principios al tratar datos personales:
Principio 1: Licitud.
Poseer una base jurídica documentada al recolectar, utilizar y tratar datos personales. Estas bases jurídicas se enumeran de forma taxativa. Algunos ejemplos son los siguientes:
- El tratamiento de datos es necesario para celebrar un contrato con la persona, como contratos del personal y contratos de ventas
- La persona ha otorgado su consentimiento
- Los intereses legítimos de Fresenius son mayores que las consecuencias negativas para las personas
- La necesidad de cumplir con otras obligaciones legales, como leyes fiscales, requisitos de control o requisitos de buenas prácticas.
Los datos de categorías especiales, como datos de salud, necesitan fundamentos jurídicos adicionales.
Si la legislación local exige disposiciones adicionales o distintas, estas también deben respetarse (esto puede ser importante, por ejemplo, para los datos de los colaboradores).
Principio 2: Transparencia y Equidad.
Tratar los datos personales de manera justa y transparente. Informar a las personas antes o en el momento de la recolección y del uso de los datos personales sobre las siguientes cuestiones:
- Quién es responsable del tratamiento y cómo se puede contactar con esa persona
- Qué datos se recogen
- Cómo se recolectan los datos
- Por qué necesitamos los datos (propósito)
- Con qué organizaciones se comparten los datos
- Si se comparten con otros países
- Por cuánto tiempo se almacenan los datos
- La base jurídica de la recolección y del uso de datos y una explicación de esto (principio 1)
- Si se elaboran perfiles de las personas
- Si tomamos decisiones por medios automatizados
- Si los datos deben comunicarse y qué sucede si no se comunican
- Los datos de contacto del DPO y de la autoridad
- Los derechos que tienen las personas.
Toda esta información debe comunicarse de manera comprensible y de forma que pueda accederse a ella fácilmente, utilizando palabras claras y sencillas.
Principio 3: Limitación de la finalidad.
Utilizar los datos personales únicamente para los fines especificados, explícitos y legítimos para los que se recogen. No se permite usos posteriores, a menos que este uso posterior esté en consonancia con el propósito original y/o se tomen medidas adicionales.
Las finalidades del tratamiento posterior que generalmente se consideran acordes con el propósito original son:
- Archivo
- Auditoría interna
- Investigaciones.
La LDPA podrá orientar si está permitido un cambio en el propósito. En caso de que se permita un cambio de finalidad, las personas deben ser informadas de dichos cambios.
Principio 4: Minimización de datos.
Recolectar y utilizar únicamente los datos personales que sean necesarios para el propósito definido y comunicado a la persona. Esto significa garantizar que los datos personales sean pertinentes y no excesivos a la luz del propósito.
Principio 5: Exactitud.
Mantener los datos personales exactos y actualizados. Se deben aplicar procedimientos para garantizar que los datos inexactos son eliminados, corregidos o actualizados sin demora.
Principio 6: Limitación del plazo de conservación.
No conserve los datos personales más tiempo del necesario del propósito para el que se han recolectado, salvo que lo exija la ley. En tal caso, el acceso a los mismos debe ser restringido. Suprima o anonimice los datos personales si ya no existe más un motivo legal o propósito.
Principio 7: Seguridad, Integridad y Confidencialidad.
Adoptar las medidas técnicas y organizativas adecuadas para proteger los datos personales contra la destrucción, la pérdida, la alteración, la divulgación o el acceso a los datos personales (por ejemplo, mediante funciones adecuadas, respaldos y restauraciones o por encriptación).
A la hora de implementar estas medidas, hay que tener en cuenta los riesgos para las personas. La seguridad de los sistemas informáticos debe evaluarse a la luz de estos riesgos durante la instalación y mantenimiento de los sistemas informáticos.
Documentar y notificar a la organización de protección de datos cualquier violación de la seguridad que pueda suponer un riesgo para las personas afectadas. Dependiendo de la situación, dichas violaciones también deben ser notificadas a la autoridad, a los individuos o a otras organizaciones.
Principio 8: Responsabilidad.
Ser capaz de demostrar el cumplimiento de las BCR. Esto se hace creando y manteniendo la documentación adecuada, como:
- Registros de las actividades de procesamiento
- Las medidas técnicas y organizacionales adoptadas para cumplir con los principios de protección de datos y hacer frente a los riesgos.
- Evaluaciones de riesgo y control de la protección de datos
Compromiso de los procesadores
Contratar únicamente a procesadores que ofrezcan garantías suficientes para implementar las medidas técnicas y organizacionales apropiadas de manera que el tratamiento cumpla los requisitos de la BCR y de la legislación local en materia de protección de datos. Esto debe garantizarse mediante un contrato de protección de datos entre la entidad respectiva y el procesador.
(En adelante) Transferencias de datos personales
Implementar medidas para salvaguardar adecuadamente las transferencias de datos personales a otras organizaciones situadas fuera del EEA en cumplimiento de estas BCR. Esto podría hacerse acordando con la otra organización las cláusulas contractuales estándar adoptadas por la Comisión Europea.