En materia de Protección de Datos de Carácter Personal, existen cuatro principios básico, a la luz de los cuales es necesario interpretar el contenido y alcance de la LOPD; el nuevo Reglamento amplia y mejora la definición de estos principios, ya que los conceptos contenidos en la Ley no siempre son de sencilla comprensión, por lo que dotar de mayor seguridad jurídica el marco normativo de la Proteción de Datos era en este caso especialmente necesario, estos cuatro principios son:

• Derecho de Información: es el derecho a ser informado de modo expreso, preciso e inequívoco del contenido y alcance exacto del tratamiento que se va a hacer de sus datos.
  No basta por tanto con el cumplimiento de un genérico deber de información, sino que como el artículo 18 del Reglamento especifica, es necesario utilizar un medio que permita acreditar el cumplimiento de tal obligación por parte del responsable del fichero, debiendo además conservarse mientras persista el tratamiento de datos.
• Consentimiento del afectado: Cualquier tratamiento de datos requiere el consentimiento inequívoco e informado del afectado (salvo las excepciones de la Ley, relativas a una libre aceptación de una relación negocial, laboral o administrativa, a datos de fuentes accesibles al público o a las funciones propias de las Administraciones públicas). 

Del mismo modo, y con más razón, la comunicación de datos a terceros, requiere con caracter general el consentimiento previo del interesado; el correcto cumplimiento de esta obligación ha sido una de las cuestiones más controvertidas a lo largo de los años de aplicción de la LOPD, pese a que la Agencia en varios informes y en la Memoria del año 2000, recoge expresamente que el requisito de que el consentimiento sea inequívoco, "implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento."

Aunque el Reglamento ha abierto una puerta al consentimiento (semi)tácito, siempre que se conceda un plazo de 30 días al interesado para manifestar, a través de un medio sencillo, su negativa al tratamiento o a la cesión.

Además, cuando en el marco de un precontrato (p. ej. envíos comerciales) nos soliciten el consentimiento para finalidades que no estén directamente relacionadas con dicha relación contractual, por ejemplo y muy habitual, para ceder nuestros datos a un tercero  del mismo grupo de empresas, nos deberán permitir manifestar nuestra negativa al tratamiento o comunicación, lo más habitual es permitir marcar una casilla aceptando o negándonos al tratamiento.

Hace unos dias he recibido  este envio comercial, que  pese a afirmar que mis datos van a ser cedidos, no cumple con los requisitos para recabar el consentimiento, ¿sabe alguien cúal es el error?

• Finalidad y Calidad de los datos: solo pueden recogerse los datos que sean estrictamente necesarios para la finalidad para la que se obtengan, además deben mantenerse actualizados, de forma que respondan con veracidad a la situación actual del afectado.
• Seguridad: es el conjunto de medidas de indole técnica y organizativa que garanticen la seguridad de los datos. La Ley prohibe incluso que se registren datos en ficheros que no reunan las condiciones que aseguren la integridad y seguridad de los datos almacenados, ya provenga el riesgo de la acción humana o del medio físico o natural.

Que los datos estén seguros, requiere que garantice un sistema que evite su alteración, pérdida, tratamiento (incluso consulta) o acceso no autorizado, el nuevo Reglamento dedica la totalidad del Título VIII a las medidas de seguridad que deben reunir los ficheros con datos.