USO LEGAL DE DATOS
PERSONALES
Protección de Datos
PERSONALES
Módulo 2
USO LEGAL DE DATOS PERSONALES
El tratamiento de datos personales es licito si se realiza justificando su uso. Es decir, que debe existir alguna razón o motivo legal para su tratamiento. A continuación, conocerás las siguientes bases legales que justifican el uso de los datos personales.
i. CONSENTIMIENTO
¿Qué es el consentimiento?
El consentimiento es una de las bases jurídicas que legitima el tratamiento de datos personales. Se refiere a la manifestaciónlibre,específica,informadaeinequívoca por la cual el titular autoriza que sus datos sean tratados para una o varias finalidades determinadas.
Característicasdelconsentimientoválido
Para que el consentimiento sea legalmenteválido, debe cumplir con los siguientes requisitos:
1. Libre:
El titular no debe estar obligado, condicionado ni presionado para darlo.
2. Específico:
Debe estar claramente vinculado a finalidades concretas. No se permite el “consentimiento genérico”.
3. Informado:
El titular debe saber:
a. Qué datos se recopilan
b. Para qué se usarán
c. Quién los usará
d. Cuánto tiempo se conservarán
e. A quiénes se podrían transferir
4. Inequívoco:
Se debe expresar mediante una acciónclarayafirmativa (no puede inferirse por silencio o inacción).
¿Cuándosenecesitaconsentimientoenlauniversidad?
• Para usar fotografías o videos de estudiantes en redes sociales institucionales.
• Para enviar comunicaciones comerciales o promocionales.
• Para recoger y usar datos sensibles (por ejemplo, certificados médicos).
• Para grabar clases cuando se identifica a los participantes.
Retiro
del consentimiento
El titular puede retirarsuconsentimientoencualquiermomento, sin que ello afecte la legalidad del tratamiento realizado antes del retiro.
Ejemplo práctico
Caso:
La Dirección de Comunicación quiere usar testimonios en video de estudiantes para promocionar un programa académico.
Acción correcta:
Solicitar el consentimiento de los estudiantes indicando:
• Que su imagen será utilizada con fines promocionales
• En qué medios se difundirá
• Por cuánto tiempo estará disponible
• Posibilidad de revocar su consentimiento en cualquier momento
OBLIGACIÓN
LEGAL DEL RESPONSABLE DEL TRATAMIENTO
¿Qué significa?
Obligación legal que exige al responsable del tratamiento recolectar, conservar o compartir esos datos. En otras palabras, si una ley, reglamento o disposición normativa válida ordena que cierta información personal debe ser tratada, la universidad (u otra entidad responsable) está legalmente habilitada para hacerlo, incluso sin solicitar autorización previa al titular.
¿En qué casos aplica?
Aplica cuando la institución tiene debereslegalesquenopuedencumplirsesintratardatos personales. Por ejemplo:
En el contexto universitario:
• Matrículas y registros académicos: la universidad debe mantener información académica de estudiantes conforme a la normativa del sistema de educación superior.
• Contrataciónlaboral: registrar y conservar datos personales de los trabajadores, como información tributaria, afiliación al IESS, o historial laboral.
• Cumplimientotributarioofinanciero: declarar pagos, descuentos y retenciones ante la autoridad fiscal (SRI).
¿Qué no se puede hacer?
Aunque el tratamiento se base en una obligación legal, estonoeximealresponsablede cumplirconlosdemásprincipioslegales
Por ejemplo:
• No se puede usar la información parafinesdiferentes a los legalmente establecidos.
• Se debe seguir respetando la seguridad, limitacióndeconservación, transparencia y acceso del titular.
Ejemplo práctico
Caso:
El CACES exige a las universidades entregar un informe anual con datos consolidados de estudiantes.
Tratamiento legítimo sin consentimiento: La PUCE puede procesar y enviar esa información porquetieneunaobligaciónlegal
iii. ORDEN JUDICIAL
¿Qué significa?
El tratamiento de datos personales también es lícito cuando se realiza en cumplimiento de una orden emitida por una autoridad judicial competente.
Esto quiere decir que si un juez o tribunal solicita legalmente cierta información personal, la organización (como una universidad) está obligadaaentregarlaotratarla, aun cuando el titular nohayadadosuconsentimiento
¿Qué requisitos debe tener esta orden?
Para ser válida, la orden judicial debe cumplir con:
• Competencia de la autoridad: Debe provenir de un juez o tribunal autorizado legalmente.
• Justificaciónclaraylegítima: La solicitud debe tener relación directa con un proceso judicial en curso.
• Proporcionalidad: Debe referirse únicamente a los datos estrictamente necesarios.
• Formalegal: Debe estar emitida por escrito y conforme a las normas del debido proceso.
Ejemplos en el contexto universitario
• Unjuzgadosolicitaelexpedienteacadémico de un estudiante como parte de una investigación por falsificación de títulos.
• Eljuezsolicitaaccesoalregistrodevideovigilancia de una facultad por un caso de acoso en investigación.
¿Puede la universidad negarse?
No. En estos casos, el responsable del tratamiento tienelaobligaciónlegaldecolaborarcon lajusticia. Sin embargo, debe:
• Verificar la validez formal y el alcance de la orden.
• Documentar la entrega de información.
• Limitarse a entregar únicamente lo requerido.
• Notificar, si es legalmente permitido, al titular sobre el acceso a sus datos.
iv. Misión en interés público o ejercicio de competencias públicas
¿Qué significa?
Esta base legal permite el tratamiento de datos personales sin necesidad de consentimiento, siempre que:
1. El tratamiento sea necesario para el cumplimiento de una misión realizada en interés público, o
2. Se realice en el ejercicio de competencias públicas legalmente atribuidas al responsable del tratamiento.
¿Qué se entiende por “interés público”?
Es cualquier actividad orientada al bienestar colectivo, a la garantía de derechos o al cumplimiento de funciones públicas
Ejemplos en el contexto universitario
• Una universidadpública trata datos de estudiantes para asignar cupos con base en políticas de inclusión educativa.
• Una universidad privada, que colabora con el Estado en programas de becas nacionales, trata datos personales para cumplir con sus compromisos como ejecutora depolíticapública.
Requisitos para aplicar esta base legal:
• Debe existir una normalegal que justifique esa misión o competencia.
• El tratamiento debe ser estrictamentenecesario para cumplir con dicha finalidad
v. BASE DE LEGITIMIDAD: MEDIDAS PRECONTRACTUALES Y EJECUCIÓN DE OBLIGACIONES CONTRACTUALES
• ¿Qué significa?
Esta base permite tratar datos personales sin necesidad de consentimiento cuando: El tratamiento es necesario para ejecutar un contrato en el que el titular es parte, o es necesario para aplicar medidas precontractuales solicitadas por el titular, antes de formalizar el contrato.
En otras palabras, si una persona pide acceder a un servicio, postular a una vacante o firmar un contrato, el tratamiento de sus datos personales es legal en la medida que sea necesario para cumplir ese propósito.
• ¿Qué son medidas precontractuales?
Son aquellas acciones o procedimientos previos al contrato, iniciados por el titular, que requieren uso de datos personales.
• Ejemplo:
• El envío de una hoja de vida para un proceso de selección.
• La solicitud de admisión a un programa académico.
• La cotización de un servicio con datos de contacto
• Ejemplos en el contexto universitario
Medidas precontractuales:
• Postulación de un estudiante a una beca institucional.
• Envío de datos para preinscripción en una maestría.
• Solicitud de prácticas profesionales mediante formulario.
Ejecucióncontractual:
• Tratamiento de datos del personal docente contratado.
• Gestión de pagos, descuentos o beneficios de un contrato laboral o académico.
• Envío de certificados académicos como parte de la obligación contractual de la universidad.
Límitesimportantes
No se puede utilizar esta base para justificar tratamientos masivosonovinculados directamente con el contrato.
No debe usarse como excusa para recolectar datossensibles que no sean estrictamente necesarios.
Ejemplopráctico:
• Caso:
Un estudiante firma un contrato de residencia universitaria.
• Tratamiento legítimo: La universidad puede usar sus datos para:
• Gestionar su habitación
• Cobros y pagos
• Notificaciones internas
• Control de acceso al campus
PeroNOpara:
• Enviar promociones de cursos no relacionados
• Compartir su información con patrocinadores sin justificación
vi. Base de legitimidad: Interés vital del titular o de otra persona natural
• ¿Quésignifica?
El tratamiento de datos personales sin necesidad de consentimiento es legalmente válido cuando es necesario para proteger la vida, la salud o la integridad física o mental del titular, o de otra persona natural.
Esta base legal se aplica principalmente en situaciones de emergencia o riesgo grave e inminente, donde no se puede esperar que el titular consienta, pero donde no actuar implicaría un daño significativo.
• ¿Cuándo se usa esta base?
Se utiliza de manera excepcional, solo cuando:
• El titular no puede dar su consentimiento (por estar inconsciente, en peligro o sin capacidad de decisión), y
• El tratamiento de sus datos es indispensable para proteger su vida o integridad.
Ejemplos aplicados al entorno universitario
1. Emergencia médica en campus
Un estudiante sufre un colapso en clase. El personal del centro médico accede a su historial clínico para atenderlo.
Accidente durante una actividad institucional
Un docente es trasladado de urgencia a un hospital y se requiere información médica que está en manos de la universidad
vii. Base de legitimidad: Datos provenientes de fuentes de acceso público
¿Quésignifica?
Esta base permite tratar datos personales sin necesidad de obtener el consentimiento del titular cuando los datos provienen de fuentes de acceso público legítimo, es decir, bases de datos o registros a los que cualquier persona puede acceder libremente, conforme a la ley.
Esto significa que si la información personal está disponible en una fuente pública, su tratamiento puede estar justificado, siempre que se respeten los principios legales y el uso sea adecuado a la finalidad con la que los datos fueron hechos públicos.
¿Qué se considera fuente de acceso público?
Deacuerdoconla LOPDP,sonaquellasfuentesaccesiblessinrestricciónlegalotécnica para cualquier persona. Algunos ejemplos comunes son:
• Registros públicos (Registro Civil, Registro de la Propiedad, RUC)
• Boletines oficiales del Estado
• Información publicada por el titular en redes sociales con carácter público
• Directorios públicos
• Medios de comunicación
Ejemplos en el entorno universitario
• Consultarel registrode títulosde unpostulante enunabasepúblicapara verificar su formación.
• Usar información de una red social profesional (como LinkedIn) para contactar a un expositor que ha hecho su perfil público.
Importante: No todos los datos públicos son de uso ilimitado
Aunque los datos estén en una fuente pública, el tratamiento sigue sujeto a principios clave, como:
• Finalidad: no se pueden usar para fines distintos a los esperados por el titular.
• Proporcionalidad y minimización: solo se debe tratar lo estrictamente necesario.
• Transparencia: si se va a usar la información para finalidades nuevas, se debe informar al titular.
• Confidencialidad: no se debe asumir que los datos públicos pueden difundirse sin límites.
Ejemplos de mal uso
• Extraer masivamente datos de redes sociales para crear una base de marketing.
• Compartir públicamente un dato personal sensible que fue obtenido de un registro abierto sin considerar su impacto.
viii. Base de legitimidad: Interés legítimo
¿Qué significa?
El interés legítimo permite a una organización tratar datos personales cuando:
• Existe un interés real, específico y justificado del responsable del tratamiento o de un tercero, y este interés no vulnera los derechos y libertades del titular.
• Esta base requiere equilibrar los intereses de la organización con los derechos del titular, y solo se puede usar cuando ese interés es necesario, pertinente y proporcional.
¿Qué tipo de intereses pueden ser legítimos?
• Interés comercial o institucional legítimo
• Prevención de fraude o seguridad de sistemas.
• Mejora de servicios o atención al usuario.
• Tratamiento de datos con fines administrativos internos.
Ejemplos aplicados al entorno universitario
1. Prevención de fraude académico La universidad revisa patrones de comportamiento en plataformas virtuales para detectar suplantación de identidad.
2. Videovigilancia para seguridad institucional Cámaras en pasillos y accesos para resguardar personas e instalaciones.
3. Evaluación de desempeño docente o administrativo Tratamiento de ciertos datos para garantizar la calidad de los servicios educativos.
¿Cuándo no se puede usar esta base?
• Cuandoel tratamientoimpliqueperfilesautomatizadosconefectossignificativos en la persona.
• Si se usan datos para fines incompatibles con los esperados por el titular.
• Cuando el tratamiento afecta desproporcionadamente los derechos del titular.
• Si no se ha realizado un análisis de interés legítimo.
Requisitos para aplicar esta base
1. Existencia de un interés legítimo real y lícito.
2. Necesidad del tratamiento para lograr ese interés.
3. Evaluación del impacto en los derechos del titular.
4. Medidas de mitigación del riesgo, si es necesario.
5. Transparencia: el titular debe ser informado.
Resumendelasbasesdelegitimidadparatratardatospersonales
1. Consentimiento
2. Obligación legal del responsable
3. Orden judicial
4. Misión en interés público o ejercicio de competencias
5. Medidas precontractuales (T)/ejecución de obligaciones contractuales
6. Interés vital
7. Base de datos de acceso público
8. Interés legítimo
