Series: Seguridad y privacidad de los datos

Protección de datos

Respetar los principios de protección de datos

Para cumplir los principios del tratamiento de datos, realice lo siguiente:

  • Identifique y documente la necesidad de tratar cada categoría de datos personales. Si no puede identificar la necesidad del tratamiento de datos, no los trate. Una vez identificada la necesidad de tratar los datos, no los trate por ningún otro motivo que no sea la necesidad identificada.
  • Tratar sólo los datos personales mínimos necesarios para sus necesidades, y garantizar que los datos son adecuados para la necesidad identificada.
  • Garantizar la exactitud de los datos personales. Si los datos son inexactos, asegúrese de que existen los mecanismos necesarios para actualizarlos.
  • Tratar los datos personales sólo durante el periodo requerido. Cuando los datos ya no sean necesarios, elimínalos. Los calendarios de conservación de documentos describen el tratamiento de cada categoría de datos personales.

    Garantizar la seguridad de los datos personales

    La seguridad de los datos personales se tiene en cuenta junto con la seguridad general de la aplicación. Utiliza técnicas de codificación seguras para reducir la posibilidad de que un atacante ponga en peligro la aplicación y los datos personales. Pruebe la aplicación a todos los niveles y considere la posibilidad de obtener los servicios de usuarios profesionales éticos no autorizados que intenten poner en peligro la aplicación. Siempre que sea posible, encripta los datos personales. Asegúrese de que existen controles de acceso adecuados para que sólo tengan acceso a los datos personales las personas que deban hacerlo.

    Permitir que las personas ejerzan sus derechos

    Cuando una aplicación procesa los datos personales de un interesado, ese individuo tiene derechos específicos que le confiere la normativa sobre privacidad. Para atender la solicitud de un particular, documentar dónde se tratan los datos personales dentro de la aplicación, de modo que la solicitud pueda tramitarse con eficacia.

    Los interesados tienen derecho a acceder a sus datos. Asegúrese de que existen mecanismos para proporcionar una copia de la información personal procesada por la aplicación. Los interesados también tienen derecho a solicitar que usted transfiera sus datos a otra organización o depósito de datos. Si se hace tal petición, usted transfiere los datos en un formato estructurado y de uso común. Los datos personales tratados por la aplicación deben ser exactos y estar actualizados. Si los datos no son exactos y no están actualizados, el interesado puede solicitar su rectificación.

    El interesado puede retirar su consentimiento, oponerse al tratamiento de sus datos o solicitar su supresión. Debe disponer de mecanismos que permitan la supresión de los datos de una persona. Alternativamente, un interesado puede solicitar que deje de tratar datos personales para un fin determinado. En este caso, no suprimirá los datos personales, sino que dejará de tratarlos para los fines indicados.

    Documentar la ubicación geográfica y la accesibilidad de los datos personales

    La normativa sobre privacidad establece restricciones sobre dónde se procesan los datos personales o impone mecanismos apropiados para transferir datos fuera de un país o región determinados. Si está tratando datos personales fuera de un país o región donde reside el interesado, debe identificar el mecanismo legal apropiado para transferir los datos a otro país o región. Sus clientes deben informar a sus clientes y a los usuarios sobre dónde se están procesando los datos. Debe transmitir esta información a sus clientes.

    Las organizaciones que utilicen su aplicación deben obtener el consentimiento del interesado de forma adecuada para que el tratamiento de los datos personales sea lícito. Dependiendo de la naturaleza de cómo interactúen los interesados con su aplicación, puede requerir un mecanismo para obtener su consentimiento. Si es así, debe dejar constancia de cómo y cuándo se dio ese consentimiento. También debe disponer de mecanismos para retirar ese consentimiento.

    Asegúrese de que se han establecido las condiciones contractuales adecuadas con sus clientes.

    La normativa sobre privacidad distingue entre organizaciones como responsables del tratamiento de datos y organizaciones como encargados del tratamiento de datos. Los responsables del tratamiento son organizaciones que determinan los fines y métodos del tratamiento de los datos personales. Los encargados del tratamiento son organizaciones que tratan datos personales por cuenta del responsable del tratamiento. En la mayoría de los casos, usted es un procesador de datos y su cliente es el controlador de datos. Sólo debe tratar datos personales siguiendo instrucciones del responsable del tratamiento. Usted o su cliente deben crear un documento legal con esas instrucciones. Asegúrese de haber firmado el documento. 

    Seguridad de las aplicaciones:Artículo anterior sugerido Artículo siguiente sugerido: Adenda de tratamiento de datos