Guía Básica de Protección de Datos

DESCARGAR

“¿Se sentiría cómodo al compartir con nosotros el nombre del hotel donde se alojó anoche?”

“¿Compartiría los nombres de las personas con las que ha estado intercambiando mensajes en los últimos días?”

Las preguntas del senador Dick Durbin a un sonrojado Mark Zuckerberg, hace apenas unos días, sirven como perfecto punto de partida para explicar la relevancia que tiene la protección de datos en el entorno actual.

Con casi tres décadas de regulación exhaustiva en Europa, el derecho a la protección de datos es un tema prácticamente inédito en Ecuador. Por ello, es fundamental legislar de un modo responsable y que las empresas estén al tanto de la regulación inminente en la materia; tanto la europea, a través del Reglamento General de Protección de Datos, como, por primera vez, la ley de protección de datos ecuatoriana, que actualmente se encuentra en fase de discusión para su aprobación que, previsiblemente, será este año.

Ficheros, derechos ARCO, tratamiento de datos, responsables de tratamiento, datos de carácter sensible o procedimientos de disociación, creación de perfiles personales de clientes y publicidad personalizada derivada de ellos, “compliance” en el desarrollo y adopción de software y aplicaciones, impacto en redes sociales son algunos de los conceptos con los que, tanto las empresas como los poderes públicos, han de empezar a familiarizarse para adaptarse a una realidad en la que el proteccionismo ha de estar equilibrado con el libre comercio y el flujo de información en internet.

Es un derecho que cuenta con una amplia tradición jurídica en los países europeos. Aunque pueda tener cierta conexión con otros derechos fundamentales, como el derecho al honor y el derecho a la intimidad, no han de ser confundidos, ya que la privacidad no es el factor que determina el que los datos de carácter personal deban o no deban de ser protegidos. La justicia europea ha manifestado claramente que se trata de un derecho independiente, ya que, esos datos cuyo tratamiento se ha de proteger, también pueden ser de carácter público.

Por ello, el derecho fundamental a la protección de datos tiene su objeto en el poder de disposición y control, ya que se exige el consentimiento de los titulares para todo uso o tratamiento que un tercero haga de sus datos de carácter personal.

Con lo anteriormente expuesto, se puede manifestar que este derecho fundamental consta de tres elementos esenciales:

  • Asegurar que, como regla general, todo tratamiento se haga con consentimiento de los titulares (salvo excepciones legales).
  • Que el afectado por un tratamiento de datos siempre pueda tener conocimiento de qué se va a hacer, es decir, cuál va a ser ese tratamiento.
  • Que todo tratamiento de datos responda a fines que sean legítimos.

Según el Reglamento General de Protección de Datos, de obligado cumplimiento desde el 25 de mayo en todo el territorio de la Unión Europea, así como de aplicación extraterritorial para todos aquellos que traten datos de ciudadanos que estén en el territorio de la UE, son «datos personales: toda información sobre una persona física identificada o identificable»

El texto original del documento en inglés, “relating”, relacionada, en consonancia con la definición de la LOPD española, país de vanguardia en la regulación de Protección de Datos, y pendiente de armonizar para adaptar el Reglamento, señala en su definición “Cualquier información concerniente a personas físicas identificadas o identificables”.

Respecto a la identidad, el RGPD continúa señalando en su definición “se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”. Esto abre enormemente el abanico, de modo que sólo escapará del concepto de datos de carácter personal toda información que no pueda asociarse a una persona física. Es importante tener en cuenta que el dato personal no es necesariamente un dato íntimo, sino que basta “cualquier información de la persona”. Por lo tanto, una dirección de correo electrónico, un número de teléfono, o una dirección IP (tanto la estática como la dinámica), serán considerados datos de carácter de personal.

Si bien en el apartado anterior habíamos aclarado que no se debe de confundir el dato de carácter personal con información íntima de la persona, existen una serie de datos de carácter personal, que por su especial naturaleza reveladora de aspectos psíquicos y físicos de la persona, tendrán la consideración de datos especialmente protegidos y, por lo tanto, habrán de contar con una serie de exigencias y restricciones mayores para su tratamiento.

Estos datos, se dividirán en diferentes categorías en función de si responden a cuestiones de orden ideológico y de creencias religiosas, afiliación sindical, o sobre cuestiones como el origen racial, vida sexual, o relativos a la salud. En función de la categoría de datos a tratar, el consentimiento deberá ser no sólo expreso sino recabado en forma escrita.

El fichero puede ser definido como todo conjunto estructurado de datos personales, accesibles con arreglo a una serie de criterios determinados, ya sea centralizado, descentralizado, o repartido de forma funcional o geográfica. El fichero podrá ser electrónico, en papel, o parcialmente automatizado (cuando el fichero esté en parte informatizado, y en parte elaborado de forma manual).

Lo fundamental, para que el fichero sea considerado como tal, es que cuente con una organización o estructura conforme a una serie de criterios determinados relativos a personas físicas identificadas o identificables, ya que la mera acumulación de datos sin responder a ningún tipo de criterio, no tendrá la consideración de fichero a los efectos de aplicarse la normativa.

El tratamiento de datos se puede definir como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. Esta definición, contenida en el RGPD, abre enormemente el abanico de lo que puede ser considerado como tratamiento de datos de carácter personal, ya que la mera actualización de la información, la consulta y la eliminación, son actuaciones enmarcadas dentro del tratamiento de datos de carácter personal, si bien es necesario tener en cuenta dos matices fundamentales:

  • En primer lugar, que el tratamiento de datos no es lo mismo que la transmisión o cesión de datos, de modo que como ámbitos bien diferenciados, requieren de autorizaciones legales o consentimientos del titular específicos para ambos.
  • En segundo lugar, diferenciar también el tratamiento de datos respecto del fichero, ya que el fichero, tal y como ya vimos en el apartado anterior de nuestra guía, es cualquier soporte, ya sea informático o manual. Por su parte, tratamiento, comporta posibilidades de reelaboración, de modificación de los datos y de intercambio. Asimismo, mientras que el fichero únicamente permite ordenar y facilitar el acceso y localización de información, el tratamiento añade la obtención de resultados y la reelaboración de los mismos a la posibilidad de interconexión de datos de carácter personal[1].

[1] VVAA., “Protección de datos para universidades”, Ed. Thomson Civitas y Agencia Española de Protección de Datos, Madrid, 2008, pp. 434-435.

El afectado o interesado es la persona física o titular de los datos de carácter personal que sean objeto del tratamiento.

Es importante tener en cuenta que, para ser considerado afectado o interesado, basta la mera posibilidad de que la persona pueda ser identificada, sin que dicha identificación se produzca efectivamente. Lo fundamental es que con dicha información sea identificable. En esta línea, y como derecho de la personalidad, sólo pueden ser afectados o titulares de los datos de carácter personal las personas físicas o naturales, ya que la protección de datos “personales” no afecta a los datos de las personas jurídicas.

En toda regulación sobre protección de datos es necesario que las legislaciones determinen específicamente diferentes situaciones para el tratamiento de datos en función de si el titular es menor de edad, persona con discapacidad, o fallecido.

El afectado siempre podrá ejercer sus derechos frente a responsables y encargados del tratamiento, y así mismo, en el ámbito de la gestión pública o de actuaciones llevadas a cabo por la Administración, los ciudadanos, como afectados o interesados, podrán ejercer sus derechos frente a las Instituciones Públicas.

Para que el tratamiento de datos de carácter personal sea lícito, el consentimiento de los titulares o afectados es uno de los requisitos fundamentales. Sólo se podrán tratar datos de carácter personal cuando el interesado preste su consentimiento, o en aquellos casos determinados específicamente en la ley.

El consentimiento, de acuerdo con lo señalado en el Reglamento General de Protección de Datos de la UE, se puede definir como toda manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Que se exija un consentimiento inequívoco es una de las novedades introducidas por el RGPD que más polémica ha causado.

El responsable del fichero se puede definir como la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que decide sobre la finalidad, contenido, y uso del tratamiento –así viene definido en el Reglamento General de Protección de Datos de la UE.

Entre las obligaciones del responsable, al margen de decidir sobre qué datos se van a incluir en el fichero y qué tratamientos se van a realizar con esos datos de carácter personal, está la de dar respuesta a los afectados e interesados cuando ejerciten sus derechos –principalmente, los conocidos como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) que serán tratados más adelante en esta guía-, así como adoptar las medidas de seguridad y control necesarias.

Los responsables del tratamiento pueden ser tanto entidades privadas como públicas[1].

[1] VVAA. AEPD, Protección de datos personales para Universidades, Ed. THOMSON CIVITAS, Pamplona, 2008, p.440.

El encargado del tratamiento será aquella persona física, jurídica, autoridad pública, servicio o cualquier organismo que trate datos personales por cuenta del responsable del tratamiento, como consecuencia de una relación contractual previa con el mismo. Por lo tanto, el encargado del tratamiento, a diferencia del responsable, no decide sobre los datos que se recogen, los tratamientos que se vayan a realizar con esos datos o el uso o finalidad para el que vayan a ser destinados.

Un ejemplo típico de encargado del tratamiento estará en la empresa que realice publicidad por cuenta del responsable del tratamiento.

Entre los aspectos básicos a tener en cuenta, es importante señalar que la existencia de esa relación jurídica previa que vincula al encargado del tratamiento con el responsable del fichero será la que delimite el ámbito de actuación para la prestación de un servicio. En tal sentido, el Reglamento General de Protección de Datos de la UE regula esta figura señalando que debe ofrecer garantías suficientes para la protección de los derechos del interesado, empleando únicamente a personal comprometido a respetar la confidencialidad, y prohibiendo la subcontratación con otros encargados salvo autorización previa por escrito del responsable[1].

[1] VVAA. ECIJA, “Memento Práctico Derecho de las Nuevas Tecnologías”, Ed. FRANCIS LEFEBVRE, Madrid, 2017, p. 356.

Los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) son el conjunto de derechos a través de los cuales la mayoría de legislaciones sobre protección de datos garantizan a las personas el poder de control sobre sus datos personales. Son derechos personalísimos e independientes, que generan obligaciones para el responsable del tratamiento, consistentes en:

Derecho de Acceso: Consiste en el derecho del interesado a dirigirse al responsable del tratamiento para que éste le comunique los datos y evaluaciones sobre el fichero y tratamiento, solicitándole información sobre si sus datos están siendo objeto de tratamiento. En este último caso, solicitará adicionalmente información sobre la finalidad de dicho tratamiento, así como toda información disponible sobre el origen de dichos datos y comunicaciones realizadas, o que se vayan a realizar de los mismos.

Derechos de Rectificación y Cancelación: Consiste en el derecho del interesado a ejercer cualquiera de los dos derechos, ya que están íntimamente relacionados, cuando sus datos de carácter personal objeto de tratamiento sean inexactos, incompletos, inadecuados o excesivos. En concreto, el derecho de rectificación es el derecho del afectado a que se modifiquen los datos de carácter personal que resultaren ser inexactos o incompletos, a cuyo efecto el interesado deberá de indicar el alcance de la corrección.   Por su parte, el derecho de cancelación es el derecho a que se supriman los datos inadecuados o excesivos.

Derecho de Oposición: Consiste en el derecho del interesado a que no se lleve a cabo el tratamiento de sus datos de carácter personal, o se cese en el mismo, cuando se den una serie de supuestos previstos en la ley tales como:

  • Aquellos datos obtenidos sin su consentimiento por expresa disposición legal.
  • El tratamiento de datos que tenga como finalidad la realización de actividades de publicidad y prospección comercial.
  • El tratamiento que tenga por finalidad la adopción de una decisión referida y basada únicamente en un tratamiento automatizado de sus datos de carácter personal.

Se puede definir la cesión de datos como “toda revelación de datos realizada a una persona distinta del interesado”.

Tal y como sucede con el tratamiento, los datos personales sólo podrán ser revelados a una persona o entidad distinta del interesado -como destinatario o cesionario de datos- con el consentimiento claro y expreso de éste, y sólo podrán ser comunicados para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario.

Las legislaciones en materia de protección de datos suelen recoger una serie de excepciones a la exigencia del consentimiento del interesado para la cesión de sus datos. Así sucede, por ejemplo, en ciertos supuestos de cesiones entre administraciones públicas, en aquellas que estén autorizadas por ley, o en aquellas cesiones que se produzcan en cumplimiento de una obligación contractual entre el responsable y un tercero.

Por su parte, el responsable del tratamiento que vaya a ceder los datos de carácter personal a un tercero, deberá informar al interesado de manera clara y precisa de la finalidad a la que se destinarán sus datos y del tipo de actividad desarrollada por el cesionario.

Con la llegada del RGPD de la UE, este concepto, que era fundamental en la mayoría de sus legislaciones, se ha diluido al regularse como un tratamiento de datos de carácter personal más[1].

[1] VVAA. en LÓPEZ CALVO, J. (Coord.), El nuevo marco regulatorio derivado del Reglamento Europeo de Protección de Datos, Ed. WOLTERS KLUWER, Madrid, 2018.

Si bien ya contaba con una amplia base jurisprudencial, el derecho al olvido es una de las novedades del Reglamento General de Protección de Datos de la UE que más polémica ha generado. Consiste en la posibilidad que se concede a los afectados de solicitar directamente a los motores de búsqueda que dejen de indexar su nombre en aquellos resultados en los que la información vinculada no sea pertinente, esté desactualizada o sea excesiva para el cumplimiento del derecho a la libertad de información o expresión.

En países de América Latina como Chile y Colombia ya ha habido pronunciamientos judiciales respecto a este derecho al olvido en los que, sin embargo, ha primado el derecho de los usuarios a obtener de los motores de búsqueda información sobre hechos ciertos y objetivos.

El derecho a la portabilidad surge como una novedad del Reglamento General de Protección de Datos de la UE que se suma a los derechos ARCO y al ya mencionado Derecho al olvido. Este derecho, básicamente, cuenta con una doble vertiente que consiste en, por un lado, la posibilidad que se concede a los interesados de obtener los datos que han proporcionado al responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica; y, por otro lado, la posibilidad de transmitirlos de una entidad a otra sin necesidad de intermediarios ni de que le sean entregados al propio titular de los datos de carácter personal, siempre que ello sea técnicamente posible.

En la práctica, este derecho implicaría el conceder a su titular la facultad de solicitar a un responsable del tratamiento que transmita toda su información y contenido que haya subido de, por ejemplo, una red social a otra –de hecho, las opciones de configuración de redes sociales como Facebook y Twitter ya lo permiten- de modo que este nuevo derecho otorga una mayor facultad de control a los titulares sobre sus datos de carácter personal.

Bibliografía:

  • DE MIGUEL ASENSIO, P.A., (2011), Derecho Privado de Internet, Pamplona: Civitas.
  • LÓPEZ CLAVO, J. (Coord.) (2018), El nuevo marco regulatorio derivado del Reglamento Europeo de Protección de Datos, Madrid: Wolters Kluwer.
  • VVAA. (2018), Prácticum Protección de Datos, Pamplona: Thomson Reuters.
  • VVAA. ECIJA (2017), Memento Práctico Derecho de las Nuevas Tecnologías, Madrid: Francis Lefebvre.
  • VVAA. AEPD (2008), Protección de datos personales para Universidades, Pamplona: Thomson Civitas – Agencia Española de Protección de Datos.