Académique Documents
Professionnel Documents
Culture Documents
PROTECCIÓN DE DATOS DE
CARÁCTER PERSONAL
Pero la cuestión no es tanto que parte de nuestra vida conste en papel o en bases de datos
electrónicas, sino, sobre todo, si el uso que se da a esos datos es el que motivó la obtención
de los mismos, si realmente el ciudadano presta un consentimiento informado cuando los
proporciona. El problema es que en muchas ocasiones se comercia con los mismos e incluso
se obtienen de forma subrepticia, con aprovechamiento de la falta de información,
conocimientos y hasta de la buena fe de muchos.
Hasta fechas relativamente recientes éstas y otras cuestiones sobre los datos personales no
han sido objeto de especial preocupación por parte de los ciudadanos, ni siquiera de los
poderes públicos. Pero la situación ha cambiado de forma extraordinaria.
Las causas principales de dicho cambio pueden resumirse como sigue:
1
Las nuevas formas de obtención de datos, derivadas también de la implantación de
las nuevas tecnologías: internet, telefonía móvil, medios de pago electrónicos,...
La feroz competencia comercial y la necesidad de captación de nuevos clientes en
todos los ámbitos, desarrollando nuevas formas como el marketing telefónico
Finalmente, nos gustaría pensar que el cambio al que aludíamos se ha debido también
a un proceso de concienciación de los ciudadanos frente a los reiterados abusos.
Conocemos mejor nuestros derechos y estamos más dispuestos a defenderlos.
2
confusión. No puede negarse, desde luego, su vinculación con el derecho a la intimidad, pero,
como ha reconocido nuestro Tribunal Constitucional, se trata de un derecho
independiente, autónomo, con contenido propio centrado en el concepto de “privacidad”
como más adelante analizaremos. No es un derecho nuevo como demuestra el ya mencionado
reconocimiento en nuestra Constitución de 1978, pero sí puede afirmarse que la extensión de
sus implicaciones jurídicas, económicas y sociales en toda su dimensión se ha producido de
forma paralela al surgimiento y desarrollo de lo que hoy llamamos “Sociedad de la
Información”. En efecto, como ya hemos comentado en líneas anteriores, el uso y extensión
de las nuevas tecnologías de la información y la comunicación ha alertado de los peligros de
un acceso fácil y poco escrupuloso, cuando no puramente interesado, a enormes cantidades de
datos personales de los que puede derivarse el conocimiento para terceros de aspectos que
forman parte de nuestra privacidad. Así lo demuestra la existencia de un auténtico mercado de
compra-venta de bases de datos que son usadas con finalidad distinta de aquella para la que
fueron confeccionadas, o la captación de esos datos utilizando medios no muy éticos (cuando
no directamente delictivos), o, simplemente, el mantenimiento y utilización de los mismos sin
la aplicación de niveles suficientes de seguridad.
La Protección de datos en la CE
CE 1978: Art. 18
Derec ho a la
Derec ho a la
protec c ión de
intimidad
datos
PD carácter personal
3
La primera regulación de nuestra materia, en cumplimiento del mandato constitucional, se
produjo en el año 1992, con La Ley Orgánica Reguladora del Tratamiento Automatizado
de Datos. Dicha Ley fue luego sustituida por la actualmente vigente: La Ley Orgánica de
Protección de Datos de Carácter Personal, L.O. 15/1999, de 13 de diciembre.
8 años después se produjo el desarrollo reglamentario de la misma a través del Real Decreto
1720/2007, de 21 de diciembre que vino a sustituir
al anterior de 1999.
La Ley del 99 fue modificada, en lo que hace al régimen sancionador que la misma establece,
por la Ley 2/2011, de 4 de marzo, de Economía Sostenible.
4
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de
abril de 2016, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos (Reglamento
General de Protección de Datos)
Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales por parte de las autoridades competentes para fines
de prevención, investigación, detección o enjuiciamiento de infracciones penales o
de ejecución de sanciones penales, y a la libre circulación de dichos datos
El Reglamento 2016/679 está en vigor desde mayo de 2016, pero resulta obligatorio en todos
sus elementos y directamente aplicable en cada Estado miembro desde el 25 de mayo de
2018.
En este Curso analizaremos la normativa establecida en la materia por el Reglamento de la
Unión Europea ya directamente aplicable, si bien lo acompañaremos de las disposiciones más
destacadas de la Ley española que, mientras no se sustituida por el nuevo texto que está
siendo tramitado por las Cortes Generales, resulta aplicable en lo que no se oponga al
Reglamento.
5
Prueba también de esta diferenciación es la regulación jurídica separada de ambos, puesto que el
derecho a la intimidad recibe tratamiento específico en la Ley Orgánica 1/1982, de 5 de mayo, de
Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.
Partiendo pues de estas consideraciones podemos afirmar que el concepto básico en materia de
protección de datos es la llamada “Privacidad “, que podemos definir como el:
6
Las figuras nuevas se incorporan a nuestra legislación. En los demás casos tendremos que
acostumbrarnos a designarlas con las denominaciones que se harán comunes a los diversos
Estados Europeos.
Expondremos pues, a continuación, la materia de los sujetos de la Protección de Datos
atendiendo al Texto Europeo.
Intimidad/Protección de Datos
Es aquel espacio o La Privacidad en c ambio,
P.D.
intimidad
PD carácter personal
Como hemos anticipado la principal novedad en relación con los sujetos de la protección de
datos que contiene el Reglamento europeo es la figura del Delegado de Protección de Datos
(DPO, por sus siglas en inglés). Dicha figura será obligatoria para la Administración y para
empresas que cumplan determinados requisitos, fundamentalmente, que realicen una
monitorización periódica y sistemática de datos a gran escala (estudios de solvencia,
mercados, riesgos…) o gestionen datos de categorías especiales (datos considerados
sensibles). De ella nos ocuparemos más adelante en este Curso.
Ahora nos interesa conocer los sujetos fundamentales de la protección de datos.
El Reglamento contiene en su artículo 4º un glosario de términos. De entre ellos afectan
al “Quién” de la protección de datos los siguientes:
7
Responsable del tratamiento o Responsable: la persona física o jurídica, autoridad
pública, servicio u otro organismo que, solo o junto con otros, determine los fines y
medios del tratamiento; si el Derecho de la Unión o de los Estados miembros
determina los fines y medios del tratamiento, el responsable del tratamiento o los
criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión
o de los Estados miembros
Encargado del tratamiento o Encargado: la persona física o jurídica, autoridad
pública, servicio u otro organismo que trate datos personales por cuenta del
responsable del tratamiento
Destinatario: la persona física o jurídica, autoridad pública, servicio u otro organismo
al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se
considerarán destinatarios las autoridades públicas que puedan recibir datos personales
en el marco de una investigación concreta de conformidad con el Derecho de la Unión
o de los Estados miembros; el tratamiento de tales datos por dichas autoridades
públicas será conforme con las normas en materia de protección de datos aplicables a
los fines del tratamiento
Tercero: persona física o jurídica, autoridad pública, servicio u organismo distinto del
interesado, del responsable del tratamiento, del encargado del tratamiento y de las
personas autorizadas para tratar los datos personales bajo la autoridad directa del
responsable o del encargado
A los anteriores elementos personales que son los esenciales añade el Reglamento
comunitario los siguientes:
Representante: persona física o jurídica establecida en la Unión que, habiendo sido
designada por escrito por el responsable o el encargado del tratamiento represente al
responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud
del presente Reglamento
Empresa: persona física o jurídica dedicada a una actividad económica,
independientemente de su forma jurídica, incluidas las sociedades o asociaciones que
desempeñen regularmente una actividad económic
Grupo empresarial: grupo constituido por una empresa que ejerce el control y sus
empresas controladas
8
Autoridad de control: la autoridad pública independiente establecida por un Estado
miembro.
Autoridad de control interesada: la autoridad de control a la que afecta el tratamiento
de datos personales debido a que:
a) el responsable o el encargado del tratamiento está establecido en el territorio del
Estado miembro de esa autoridad de control;
b) los interesados que residen en el Estado miembro de esa autoridad de control se
ven sustancialmente afectados o es probable que se vean sustancialmente afectados por
el tratamiento, o
c) se ha presentado una reclamación ante esa autoridad de control
9
automatizados o no, como la recogida, registro, organización, estructuración,
conservación, adaptación o modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra forma de habilitación
de acceso, cotejo o interconexión, limitación, supresión o destrucción
Limitación del tratamiento: el marcado de los datos de carácter personal
conservados con el fin de limitar su tratamiento en el futuro
Elaboración de perfiles: toda forma de tratamiento automatizado de datos
personales consistente en utilizar los datos para evaluar determinados aspectos
personales de una persona física, en particular para analizar o predecir aspectos
relativos al rendimiento profesional, situación económica, salud, preferencias
personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de
dicha persona física
Seudonimización: el tratamiento de datos personales de manera tal que ya no
puedan atribuirse a un interesado sin utilizar información adicional, siempre
que dicha información adicional figure por separado y esté sujeta a medidas
técnicas y organizativas destinadas a garantizar que los datos personales no se
atribuyan a una persona física identificada o identificable. Es lo que la Ley
española llama “dato disociado”.
Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a
criterios determinados, ya sea centralizado, descentralizado o repartido de forma
funcional o geográfica
Datos genéticos: datos personales relativos a las características genéticas
heredadas o adquiridas de una persona física que proporcionen una información
única sobre la fisiología o la salud de esa persona, obtenidos en particular del
análisis de una muestra biológica de tal persona
Datos biométricos: datos personales obtenidos a partir de un tratamiento
técnico específico, relativos a las características físicas, fisiológicas o
conductuales de una persona física que permitan o confirmen la identificación
única de dicha persona, como imágenes faciales o datos dactiloscópicos
Consentimiento del interesado: toda manifestación de voluntad libre, específica,
informada e inequívoca por la que el interesado acepta, ya sea mediante una
declaración o una clara acción afirmativa, el tratamiento de datos personales que le
conciernen
10
Aunque los conceptos esenciales: datos, tratamientos,… se recogen en términos muy
similares a como lo hace nuestra Ley Orgánica, sí puede destacarse el concepto de
“identificador” como determinante para la identificación de la persona física. Igualmente,
puede destacarse que, al definir el “fichero”, se incide en su organización y los criterios
para la misma.
Entre los diversos tipos de “datos sensibles” o “especiales”, de acuerdo con el estado de la
ciencia y la técnica, introduce el Reglamento los biométricos y los genéticos.
Será preciso también, familiarizarse con términos distintos de los contenidos en la Ley
española pero que designan la misma realidad, así ocurre con la “anonimización” que
alude al proceso de lo que nosotros denominamos “disociación”. O, igualmente, la
“limitación del tratamiento” similar a lo que nosotros denominamos “bloqueo”.
También debemos destacar, como haremos con mayor profundidad en otros lugares de este
manual, la definición que da el Reglamento sobre el consentimiento del
interesado y que constituye una de las novedades destacables del Texto. En efecto, exige,
con carácter general, que el consentimiento sea claramente inequívoco, debiendo ser
explícito cuando se trate de “datos sensibles”.
11
Como ya hemos comentado al inicio de este Manual, el precepto constitucional que alude a
la protección de datos de carácter personal, el artículo 18.4. fue desarrollado en el año
1992 a través de la Ley Orgánica de Regulación del Tratamiento Automatizado de los
Datos de carácter Personal, LO 5/1992, de 29 de octubre. Esta primera regulación se
caracterizaba por circunscribirse exclusivamente a los ficheros de carácter automatizado
sin extender su regulación, y, por tanto, sus garantías, a ficheros manuales.
12
Dicha exigencia fue cumplida en nuestro país con la creación de la Agencia Española de
Protección de Datos (AEPD) regulada por Real Decreto 428/1993, de 26 de marzo, que
aprueba su Estatuto. (A ella nos referiremos más adelante en este Manual).
Como también conocemos ya, en el año 2007 se produjo el desarrollo de la misma a través del
Real Decreto 1720/2007, de 21 de diciembre. El texto mismo vino a derogar el Reglamento
del 99, de medidas de seguridad de los ficheros automatizados y otro anterior del 94 de
desarrollo parcial de la Ley Orgánica del 92 ya mencionada. Diversas sentencias del Tribunal
Supremo de 2010 y 2012 anularon varios de sus preceptos y fue parcialmente modificado por
Real Decreto 3/2010.
13
Como sabemos, los Reglamentos comunitarios son directamente aplicables a todos
los Estados miembros. Así, el artículo 99 del mismo, dedicado a su entrada en vigor
y aplicación establece:
1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el
Diario Oficial de la Unión Europea.
2. Será aplicable a partir del 25 de mayo de 2018El presente Reglamento será
obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Dedica la Ley actual su art. 1º a definir el objeto de protección de la misma que constituye
su base y justificación: “...garantizar y proteger, en lo que concierne al tratamiento de los
datos personales, las libertades públicas y los derechos fundamentales de las personas
físicas, y especialmente de su honor e intimidad personal y familiar”.
Al ámbito de aplicación dedica la Ley su art. 2º. Con carácter general, determina que la
Ley será aplicable a datos de carácter personal registrados en soporte físico (se incluyen
por tanto los ficheros automatizados como en la Ley anterior pero también los no
automatizados o manuales) y se incluye toda modalidad posterior de uso de los mismos por
los sectores públicos o privados.
Así pues mientras, desde el punto de vista objetivo, la Ley asume la regulación y protección
de los datos cualquiera que sea el tipo de soporte físico que los contenga, desde el punto de
vista subjetivo extiende sus normas tanto al ámbito público como al privado, si bien, como
veremos, contiene algunas reglas específicas y diferenciadas para ficheros de titularidad
pública y para los de titularidad privada.
14
Dentro del mismo precepto, el ámbito de aplicación se precisa mediante el establecimiento
de una triple clasificación de los tratamientos de datos personales, según que les sea
aplicable de forma directa la Ley, queden excluidos de su regulación o se rijan por su
normativa específica y por lo previsto especialmente por la Ley para cada caso.
Es en esta materia donde se han producido los mayores cambios con el Reglamento Europeo
pues éste extiende su ámbito de aplicación con independencia de dónde (dentro o fuera de la
Unión) se realice el tratamiento a la protección de los datos de ciudadanos que residan en el
territorio de la Unión.
Como ahora veremos, el elemento del lugar en que se realice el tratamiento y el de si el
responsable tiene o no establecimiento en nuestro país no son determinantes a la vista de la
regulación contenida en el nuevo Reglamento.
Nos centramos a continuación en el ámbito de aplicación territorial y material del Reglamento
comunitario.
15
Unión.
3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un
responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de
los Estados miembros sea de aplicación en virtud del Derecho internacional público
16
Así resulta tanto de la Ley española como del Reglamento. La primera, en su artículo 3º
recoge un glosario de los términos esenciales en la materia (como ya vimos). La primera de
esas definiciones es la relativa a lo que se ha de considerar “datos de carácter personal”.
Establece dicho precepto que por tal se entiende “cualquier información concerniente a
personas físicas identificadas o identificables”. El Reglamento de desarrollo de la Ley
completa la definición en su art. 5, estableciendo que son datos de carácter personal
“Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier
otro tipo concerniente a personas físicas identificadas o identificables”. El Reglamento se
pronuncia también sobre la exclusión expresa de los datos de las personas jurídicas y
precisa que tampoco quedarían incluidos en el ámbito de la Ley los ficheros que se limitan a
incorporar datos de las personas físicas que prestan servicios en el ámbito de una
persona jurídica, si bien sólo extiende la exclusión cuando tales datos consistan únicamente
en nombre y apellidos, puestos o funciones, direcciones postal y electrónica, teléfono y fax
profesionales. Igualmente, se excluyen los ficheros de datos relativos a empresarios
individuales, cuando hagan referencia a ellos en su condición de comerciantes, industriales o
navieros.
En cuanto al polémico tema de los datos pertenecientes a personas fallecidas: no les será
de aplicación la Ley porque, jurídicamente, la muerte produce la pérdida de los derechos
personales de privacidad, si bien se prevé que sus allegados puedan comunicar el
fallecimiento al responsable del fichero donde consten los datos con objeto de obtener su
cancelación.
Los casos de
trabajadores
y autónomos
Sujetos El c aso de
incluidos y personas
exc luidos fallecidas
Ámbito
subjetivo
de
aplicación
PD carácter personal
17
Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)
Como ya vimos en el módulo anterior, el Reglamento General de Protección de Datos
recoge también en su artículo 4º una serie de definiciones entre las que figura la de
“dato de carácter personal” donde se subraya que ha de tratarse de “información sobre
una persona física identificada o identificable (el interesado); se considerará persona
física identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un identificador, como por ejemplo un
nombre, un número de identificación, datos de localización, un identificador en línea o
uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona”
18
contenido y uso del tratamiento”. Podríamos afirmar que se trata del titular del
fichero, de algún modo “el propietario” del soporte donde constan los datos, que no de
los datos mismos: estos siguen siendo siempre de la persona a que se refieren
(afectado o interesado).
19
a códigos de conducta o certificación
Protección de datos desde el diseño: adopción de medidas técnicas y organizativas
apropiadas, tanto en el momento de elección de los medios de tratamiento como en el
propio tratamiento, en función del estado de la técnica, el coste de la aplicación y la
naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa
probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las
personas físicas.
Entre las medidas se cita la seudonimización y la minimización. Recordemos que la
primera supone el tratamiento de datos personales de manera tal que ya no puedan
atribuirse a un interesado sin utilizar información adicional, siempre que dicha
información adicional figure por separado y esté sujeta a medidas técnicas y
organizativas destinadas a garantizar que los datos personales no se atribuyan a una
persona física identificada o identificable (similar a la figura de la disociación en la
Ley española). La minimización supone recoger y tratar sólo los datos necesarios en
relación a los fines para los que son tratados (en nuestra Ley formaría parte del llamado
“principio de calidad de los datos”).
Protección “por defecto”: aplicación de las medidas técnicas y organizativas
apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los
datos personales necesarios para cada uno de los fines específicos del tratamiento.
Corresponsabilidad: cuando dos o más responsables determinen conjuntamente los
objetivos y medios de tratamiento serán considerados corresponsables y deberán
determinar de mutuo acuerdo sus respectivas responsabilidades.
El Encargado del tratamiento: Según el mismo art. 3 de la Ley es “la persona física
o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o
conjuntamente con otros, trate datos personales por cuenta del responsable del
tratamiento”. Se trataría así de la figura que realiza las operaciones y
procedimientos sobre los datos. Dicho encargado puede ser el propio responsable del
fichero, pero, más comúnmente, se trata de un tercero que, en virtud de un contrato
con el responsable del fichero, realiza las operaciones que se le encomiendan sobre los
datos. Son los tratamientos por cuenta de terceros a que se refiere el art. 12 de la
20
Ley, exigiendo, como hemos comentado, la existencia de una relación contractual que
establecerá las operaciones a realizar por el encargado del tratamiento y las
instrucciones a que habrá de sujetarse estrictamente en su ejecución. Exige además el
precepto que, una vez cumplida la prestación pactada, los datos sean destruidos o
devueltos al responsable del tratamiento.
21
Finalmente, se establece la obligación tanto del responsable como del encargado (o,
en su caso, sus representantes) de colaborar con la autoridad de control que lo
solicite en el ejercicio de sus funciones.
22
creación, modificación y supresión y en materia de comunicación de datos entre las
distintas Administraciones Públicas, así como una serie de excepciones particulares a
determinados derechos de los afectados en relación con los datos contenidos en estos
ficheros. Por lo que respecta a la creación de los mismos (o su modificación o
supresión), el art. 20 de la Ley exige disposición general que ha de publicarse en el
boletín oficial correspondiente (el Reglamento exige que dicha disposición sea
dictada y publicada con carácter previo a la creación, modificación o supresión del
fichero). Para las disposiciones de creación y modificación de los ficheros públicos se
exige un contenido mínimo en el que deberá indicarse:
Para las disposiciones de supresión se exige la constancia del destino de los datos o, en su
caso, las previsiones para su destrucción.
En materia de comunicación de datos a otras Administraciones Públicas, se prohíbe para
el ejercicio de competencias diferentes o que versen sobre materias distintas, salvo en
aquellos casos en que la comunicación tenga por objeto el tratamiento posterior de los datos
con fines históricos, estadísticos o científicos. Sí pueden ser objeto de comunicación los datos
que una Administración obtenga o elabore con destino a otra.
En los últimos años, el Tribunal de la Unión Europea ha emitido varias sentencias que
limitan la cesión de datos entre las Administraciones Públicas. Así, en sentencia de 1 de
octubre ha establecido, de forma tajante, que “las personas cuyos datos personales son objeto
de transmisión y de tratamiento entre dos administraciones públicas de un Estado miembro
deben ser informadas de ello previamente” y concluye que “el Derecho de la Unión se opone
23
a que dos administraciones públicas de un Estado miembro se transmitan y traten datos
personales sin que los interesados hayan sido previamente informados de ello”.
Especial referencia contiene la Ley en su art. 22, dentro también de las disposiciones
específicas sobre ficheros públicos, a los Ficheros de las Fuerzas y Cuerpos de Seguridad.
Se establece la sujeción a las normas de la Ley de los ficheros creados por dichos Cuerpos y
Fuerzas de Seguridad que contengan datos personales que deban ser objeto de registro
permanente por haber sido recogidos para fines administrativos. Se limita la recogida y uso de
datos personales para fines policiales sin consentimiento del afectado a los supuestos de
peligro real para la seguridad pública y represión de las infracciones penales. Los datos
especialmente protegidos (también llamados datos sensibles) sólo podrán ser recogidos y
tratados por las Fuerzas y Cuerpos de Seguridad para los fines de una investigación concreta.
Finalmente, el precepto siguiente (art. 23) permite la denegación de los derechos de acceso,
rectificación o cancelación de los datos contenidos en los ficheros de las Fuerzas y Cuerpos
de Seguridad en caso de peligro para la defensa del Estado, seguridad pública, derechos y
libertades de terceros o necesidades de la investigación.
En esta materia debemos estar a lo dispuesto también en la ya mencionada Directiva (UE)
2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales por
parte de las autoridades competentes para fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre
circulación de dichos datos. La incorporación de sus preceptos se hará en la nueva Ley de
Protección de Datos actualmente en trámite parlamentario.
La excepción anterior puede hacerse extensiva a los ficheros de la Hacienda Pública para
impedir que se obstaculicen las actuaciones tendentes al cumplimiento de las obligaciones
tributarias y en el supuesto de actuaciones de inspección.
En las dos excepciones recogidas (ficheros de las Fuerzas y Cuerpos de Seguridad y ficheros
de la Hacienda Pública) se reconoce al afectado el derecho a ponerlo en conocimiento de la
Agencia Española de Protección de Datos (u organismo competente en la Comunidad
Autónoma, en su caso) con objeto de que pueda determinarse la procedencia o no de tal
denegación. Finalmente, el art. 24 excepciona el derecho de información previa en la
recogida de datos cuando ello pueda impedir o dificultar las funciones de control y
24
verificación de las Administraciones Públicas o afecte a la Defensa Nacional, seguridad
pública o persecución de infracciones penales.
Como ya hemos visto en páginas anteriores, la primera Ley española de protección de datos,
fue publicada como “Ley Orgánica 5/1992, de regulación del tratamiento automatizado de
datos de carácter personal”.
La propia denominación de la Ley actual pone de manifiesto el cambio de orientación: Ley
Orgánica de Protección de Datos de Carácter Personal”. En efecto, la actual no limita el
ámbito de actuación a los tratamientos y ficheros automatizados. El concepto de fichero:
“todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento, organización y acceso”, y el de tratamiento:
“operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la
recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así
como las cesiones de datos que resulten de comunicaciones, consultas,
25
interconexiones y transferencias” afectan también a tratamientos manuales sobre ficheros en
cualquier tipo de soporte.
La LOPD estableció un período transitorio (que finalizó en octubre de 2007) para la
inclusión de los ficheros manuales en su ámbito de aplicación. En la actualidad, el
Reglamento de desarrollo de la Ley ha establecido su inclusión expresa y ha fijado criterios
específicos sobre medidas de seguridad para los mismos.
26
Aunque otra cosa pudiera parecer, la fijación de los principios básicos que presiden tanto la
Ley como su desarrollo reglamentario y, más recientemente, el Reglamento comunitario
constituye un elemento fundamental que hace reconocible lo que hoy llamamos la “filosofía”
de la norma o, de forma clásica, “el espíritu de la Ley”. Ello permite la interpretación de los
preceptos legales y reglamentarios y la solución de dudas y cuestiones que las normas no han
resuelto de forma expresa.
Para tener una visión global de los mismos enumeraremos los principios rectores básicos de
nuestra normativa interna y los que viene a introducir el nuevo Reglamento comunitario.
En la imagen que mostramos a continuación aparecen recogidos los principales principios
básicos enunciados en la LOPD y su reglamento de desarrollo:
ACCESO
SEGURIDAD POR
COMUNICACIÓN
CUENT A DE
SECRET O T ERCEROS
PD carácter personal 11
11
27
Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)
Por su parte el Reglamento General de Protección de Datos dedica su capítulo II a los
“Principios”. Pero, además, la propia existencia del Reglamento pone de relieve el
principal de entre esos principios, que, en palabras del Catedrático Piñar Mañas, se
formularía así: “Un continente, una norma”: la nueva normativa establece un único
conjunto de normas aplicable en el conjunto de la Unión Europea. Y, aún más allá, las
empresas radicadas fuera de la Unión deberán aplicar las mismas reglas cuando
ofrezcan sus servicios en la Unión Europea.
Enumeraremos a continuación los principios relativos al tratamiento que recoge el art.
5 del Reglamento comunitario, aunque el precepto no agota todos los principios
rectores que regula el texto europeo. Algunos como “la privacidad desde el diseño” ya
han sido mencionados en páginas anteriores y otros, como la “ventanilla única” lo
serán más adelante en relación con las autoridades de supervisión.
28
dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos personales, en
particular cuando el interesado sea un niño.
Principio de limitación de la finalidad: los datos han de ser recogidos con fines
determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera
incompatible con dichos fines, no considerándose incompatibles los tratamientos con
fines de archivo en interés público, fines de investigación científica e histórica o fines
estadísticos
Principio de minimización de datos: los datos serán adecuados, pertinentes y
limitados a lo necesario en relación con los fines para los que son tratados
Principio de exactitud: los datos serán exactos y, si fuera necesario, actualizados
Principio de limitación del plazo de conservación: los datos serán mantenidos de
forma que se permita la identificación de los interesados durante no más tiempo del
necesario para los fines del tratamiento; los datos personales podrán conservarse
durante períodos más largos siempre que se traten exclusivamente con fines de archivo
en interés público, de investigación científica o histórica o fines estadísticos
Principios de integridad y confidencialidad: los datos serán tratados de tal manera
que se garantice una seguridad adecuada de los datos personales, incluida la
protección contra el tratamiento no autorizado o ilícito y contra su pérdida,
destrucción o daño accidental
Principio de responsabilidad proactiva: nos referimos a él en páginas anteriores y
supone asignar la responsabilidad del cumplimiento de los principios anteriores y la
capacidad para demostrarlo al responsable del tratamiento.
Además de los anteriores, recoge el Reglamento principios relativos al
consentimiento o a las condiciones de seguridad de los datos y a los riesgos
(principio de aproximación basada en el riesgo) a los que nos iremos refiriendo al
abordar tales temas.
Recordamos que algunos de los principios novedosos introducidos por el texto
comunitario han sido ya abordados, así el principio de privacidad desde el diseño o
el de protección de datos por defecto.
29
El Título II de la Ley 15/99 se ocupa de la materia que ahora abordamos, concretamente en
los artículos 4 al 12. Podemos enumerar como principios básicos que inspiran el régimen de
protección de los datos de carácter personal los siguientes:
30
La vinculación de los datos a la finalidad que determinó su recogida exige también la
cancelación de los mismos cuando dejen de ser necesarios para ello, si bien se
excepcionan los casos en que el cumplimiento de una obligación legal exija su
conservación más allá del tiempo necesario para cumplir la finalidad declarada. En estos
casos la Ley establece la disociación (procedimiento definido en el art. 3 como aquél que ha
de impedir que la información obtenida pueda asociarse a persona identificada o identificable)
del contenido de dichos datos respecto a la identificación de las personas a que se refieren, e
igualmente, permite la Ley la conservación, esta vez íntegra, atendidos los valores
históricos, estadísticos o científicos de los datos.
31
La misma información debe constar, de forma claramente legible, en los cuestionarios o
impresos que puedan utilizarse para la recogida de la información.
Tal deber de información debe llevarse a cabo de forma que permita acreditar su
cumplimiento puesto que deberá ser conservado todo el tiempo que persista el tratamiento de
los datos.
Contempla también la Ley el caso de que los datos no hayan sido obtenidos directamente
del interesado y establece el deber de información expresa, precisa e inequívoca, dentro de
los 3 meses siguientes al momento del registro, deber que ha de hacer efectivo el responsable
del fichero o su representante, salvo que la información se hubiera producido con
anterioridad.
Se excepcionan de esta obligación los casos en que una Ley lo prevé expresamente,
tratamiento con fines históricos, estadísticos o científicos, los supuestos en los que dicha
información, a juicio de la AEPD (u organismo de la Comunidad Autónoma, en su caso)
resulte imposible o exija un esfuerzo desproporcionado, en atención al número de interesados,
antigüedad de los datos o posibles medidas compensatorias. Se excepciona también un
supuesto muy frecuente en la actualidad: el de datos procedentes de fuentes accesibles al
público destinados a actividades de publicidad o prospección comercial. En estos casos lo que
se exige es que, en cada comunicación que se dirija al interesado, se le notifique el origen de
los datos, la identidad del responsable del tratamiento y los derechos que le asisten.
El deber de información a que se refiere el art. 5 será igualmente exigible en las convocatorias
de oposiciones y en las licitaciones de contratos.
32
respectivamente. La información será facilitada por escrito o por otros medios,
inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la
información podrá facilitarse verbalmente siempre que se demuestre la identidad del
interesado por otros medios.
33
ley no disponga lo contrario, el interesado podrá oponerse en caso de que existan
motivos fundados y legítimos relativos a una concreta situación personal. Si ello se
produce, el responsable del fichero estará obligado a excluir del tratamiento los datos
del afectado.
34
lenguaje claro, fácilmente comprensible, siendo necesario garantizar que se ha
comprobado su edad y la autenticidad de su consentimiento.
35
En cuanto a los datos relativos a la comisión de infracciones penales o
administrativas, se remite la Ley a la normativa aplicable para su inclusión en ficheros
de las Administraciones Públicas.
A los datos hasta ahora referidos debemos añadir, de acuerdo con la configuración de
los niveles de seguridad del nuevo Reglamento, los relativos a actos de violencia de
género, y los que contengan datos recabados por los Cuerpos Policiales sin
consentimiento del afectado.
El Reglamento Comunitario es más exigente con el requerimiento del consentimiento
como vemos a continuación. Así, incluye mayor número de datos entre los que
denomina “categorías especiales” como los datos biométricos y genéticos, e incluso
permite que los Estados puedan, en sus legislaciones nacionales, establecer la
prohibición del tratamiento de datos de esas categorías incluso aunque medie
consentimiento.
36
manifiestamente públicos, cuando sea preciso para la prevención,
diagnóstico o asistencia médica, o en materia de amenazas transfronterizas
a la salud o calidad y seguridad en la asistencia sanitaria y en materia de
productos farmacéuticos y sanitarios, o, por último, con fines de archivo en
interés público, fines de investigación científica o histórica o fines
estadísticos.
Para el tratamiento de datos personales relativos a condenas e infracciones
penales o medidas de seguridad conexas, dispone el Reglamento comunitario
que sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o
cuando lo autorice el Derecho de la Unión o el de los Estados miembros
37
Disponibilidad: entendida como la facultad del titular de los datos de disponer
absolutamente de ellos, lo que se articula a través del ejercicio de los derechos
reconocidos en la Ley.
Deber de secreto:
Recoge el art. 10 de la Ley el deber de secreto profesional que ha de asumir el
responsable del fichero y cualquier otra persona que intervenga en cualquier fase del
tratamiento de los datos, así como la obligación de guardarlos. Tales deberes subsisten
incluso después de finalizadas sus relaciones con el titular del fichero, o, en su caso,
con el responsable del mismo.
38
Tales deberes deberían dar lugar para todo el personal, aún aquellos que no tengan acceso
directo a los datos, a la suscripción de un “compromiso de confidencialidad” e incluso a la
confección de un documento específico donde se establezcan las funciones, obligaciones y
limitaciones de quienes pudieran tener acceso a esos datos.
39
Principio de Comunicación de los datos:
Uno de los temas en los que se produce un recrudecimiento de las medidas establecidas
por el Reglamento en comparación con la Ley es la relativa a la comunicación o cesión
de los datos a terceros, si bien la Ley no contempla expresamente la cesión sino al
hablar del principio de licitud del tratamiento que ya hemos visto y la información que
ha de darse al interesado cuando se obtienen los datos.
Establece el art. 3 de la Ley, entre las definiciones que contiene, que la cesión o
comunicación de datos es “toda revelación de datos realizada a persona distinta del
interesado” y de acuerdo con el art. 11 de la Ley, la comunicación a un tercero de los
datos objeto de tratamiento sólo es posible con la concurrencia de 2 requisitos:
40
• Cesión de datos relativos a la salud con objeto de afrontar una urgencia o para realizar
estudios epidemiológicos.
41
En efecto, en muchas ocasiones es frecuente que empresas o entidades que prestan un
servicio a otras hayan de acceder a los datos de sus ficheros. Así toda prestación de
servicios que conlleve ese acceso y el consiguiente tratamiento de los datos exige la
formalización de un contrato entre el prestador de servicios (que será a estos efectos,
y mientras dure la prestación, el encargado del tratamiento) y el prestatario (responsable
del tratamiento). En dicho contrato deberán especificarse los datos objeto del
tratamiento, finalidad, prohibición para el prestador del servicio de utilizarlo para fines
distintos, las medidas de seguridad a adoptar por el mismo y el destino de los datos una
vez concluida la prestación del servicio (destrucción o devolución).
De incumplirse por el prestador del servicio sus obligaciones como encargado del
tratamiento, la ley lo considera a efectos de responsabilidad como responsable del
tratamiento.
42
Las operaciones de tratamiento con los datos de carácter personal constituyen, sin duda, el eje
central en torno al cual se articula la normativa tanto interna (Ley Orgánica y Reglamento de
desarrollo) como comunitaria (el nuevo Reglamento cuyas novedades venimos desgranando)
en materia de protección de datos.
El adecuado cumplimiento de las obligaciones de los sujetos intervinientes en esas
operaciones, así como el imprescindible respeto a los derechos de los propietarios de los datos
exige una metodología correcta y adecuada, en definitiva, un protocolo de actuación por
parte de las personas y organizaciones públicas o privadas que recogen y se sirven de tales
datos.
43
Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)
Establece el Reglamento en su Considerando 89 que “la Directiva 95/46/CE estableció
la obligación general de notificar el tratamiento de datos personales a las autoridades
de control. Pese a implicar cargas administrativas y financieras, dicha obligación, sin
embargo, no contribuyó en todos los casos a mejorar la protección de los datos
personales. Por tanto, estas obligaciones generales de notificación indiscriminada
deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se
centren, en su lugar, en los tipos de operaciones de tratamiento que, por su
naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los
derechos y libertades de las personas físicas. Estos tipos de operaciones de
tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o
son de una nueva clase y el responsable del tratamiento no ha realizado previamente
una evaluación de impacto relativa a la protección de datos, o si resultan necesarias
visto el tiempo transcurrido desde el tratamiento inicial”.
-Lo que establece el Reglamento para los casos contemplados en este Considerando 89
es, según el Considerando 90, es que “el responsable debe llevar a cabo, antes del
tratamiento, una evaluación de impacto relativa a la protección de datos con el fin de
valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la
naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Dicha
evaluación de impacto debe incluir, en particular, las medidas, garantías y
mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos
personales y demostrar la conformidad con el presente Reglamento”
Y se añade en el Considerando siguiente que esa evaluación es, en particular,
“aplicable a las operaciones de tratamiento a gran escala que persiguen tratar una
cantidad considerable de datos personales a nivel regional, nacional o supranacional y
que podrían afectar a un gran número de interesados y entrañen probablemente un alto
riesgo”.
Se establece en el Considerando 93 que “Los Estados miembros, al adoptar el Derecho
en el que se basa el desempeño de las funciones de la autoridad pública o el
organismo público y que regula la operación o el conjunto de operaciones de
44
tratamiento en cuestión, pueden considerar necesario llevar a cabo dicha evaluación
con carácter previo a las actividades de tratamiento”
Por su parte, el Considerando 96 establece que deben llevarse a cabo “consultas con la
autoridad de control en el curso de la tramitación de una medida legislativa o
reglamentaria que establezca el tratamiento de datos personales, a fin de garantizar la
conformidad del tratamiento previsto con el presente Reglamento y, en particular, de
mitigar el riesgo que implique el tratamiento para el interesado”
45
(en nuestro caso la AEPD) establecerán y publicarán una lista de los tipos de
operaciones de tratamiento que requieran una evaluación de impacto relativa a la
protección de datos y podrán también hacerlo respecto de las que no lo requieran.
La consulta previa a la autoridad de control será necesaria para el tratamiento cuando
una evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo si el
responsable no toma medidas para mitigarlo.
Además, en ciertos casos, exige también el texto comunitario el establecimiento y
llevanza por el responsable y por el encargado del tratamiento de un registro de
actividades de tratamiento, cuando se trate de organización con 250 o más empleados
o en las de menos cuando el tratamiento de que se trate pueda entrañar un riesgo para
los derechos y libertades de los interesados, no sea ocasional, o incluya categorías
especiales de datos personales o datos personales relativos a condenas e infracciones
penales.
Así pues, con la entrada en vigor del Reglamento comunitario la notificación de los ficheros a
las autoridades de control desaparecerá y será sustituida en parte por los mecanismos
anteriores, según los casos en que sean procedentes.
46
Adopción de medidas de seguridad, nombramiento del delegado de protección
de datos y notificación de quiebras de seguridad
En la fase de legitimación se van a recoger los datos que constituyen el objeto del fichero,
su contenido, y ello exige la determinación de las razones que permiten legalmente a los
responsables la obtención de dichos datos.
El Reglamento se pronuncia en esta materia de forma parecida a la Ley.
47
El tema del consentimiento del afectado o interesado ha sido también abordado ya en el
análisis de los principios de la protección de datos. Tal como hemos hecho con la información
y, dada su importancia en el proceso de implantación de una adecuada política de protección
de datos en la organización de que se trate, volvemos sobre el tema.
Como ya sabemos, nuestra Ley Orgánica recoge el consentimiento dentro de los
principios de la Protección de Datos, concretamente en su artículo 6. Tiene la
consideración de principal legitimador del tratamiento.
Así, dispone la Ley:
“El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del
afectado, salvo que la ley disponga otra cosa”.
Para la LOPD consentimiento es “toda manifestación de voluntad”, que reúna las siguientes
características:
LIBRE toda vez que el consentimiento prestado con coacciones es nulo de pleno
derecho
ESPECÍFICA, en el sentido de ser concretamente expuestas las finalidades y los
tratamientos sobre los que recae el tratamiento
INEQUÍVOCA, que no de lugar a error alguno
INFORMADA: en el sentido de estar documentado el consentimiento mediante
su registro, a veces expreso y por escrito o, simplemente informado o advertido.
REVOCABLE, cuando exista causa justificada
SIN EFECTOS RETROACTIVOS, es decir, el consentimiento no legitima
tratamientos ya efectuados sino futuros.
48
positivo, lo que excluye el consentimiento por omisión, es decir, aquél en el que interesado
consiente si no hace nada, por ejemplo, si no marca una casilla en un formulario.
Comienza el Reglamento estableciendo la consideración del consentimiento como uno de
los supuestos en los que el tratamiento es lícito.
Establece las siguientes condiciones del consentimiento:
49
consiente y de la medida del
consentimiento
Modelo de declaración: lenguaje claro y Consentimiento presunto por silencio o
sencillo, formulación inteligible, de fácil inacción, casillas premarcadas
acceso, sin cláusulas abusivas
Medios: por escrito, por medios Perjuicios derivados al interesado por la
electrónicos, verbalmente revocación del consentimiento
50
d) Interés público o ejercicio de poderes públicos: el tratamiento debe tener su base y
finalidad en una norma de la UE o de los Estados Miembro. El Reglamento establece que,
tanto para el cumplimiento de intereses públicos como de obligaciones legales, los
Estados miembros podrán mantener o introducir disposiciones más específicas a fin de
adaptar la aplicación de las normas del mismo.
e) Intereses legítimos prevalentes del responsable o de terceros a los que se comunican
los datos: contempla el Reglamento comunitario el interés legítimo del propio
responsable o de terceros como base jurídica para la obtención de los datos y el
tratamiento siempre que sobre dichos intereses no prevalezcan los intereses o los derechos
y libertades fundamentales del interesado, en particular cuando el interesado sea un niño.
La que ahora abordamos es otra de las materias en las que el Reglamento ha incrementado los
requisitos de la Ley.
La exigencia de información a suministrar al interesado se produce tanto en el momento de la
obtención de los datos como a lo largo del tratamiento.
Recordemos las prescripciones establecidas en el art. 5 de la LOPD sobre la materia y lo que
al efecto establece el nuevo Reglamento Comunitario.
51
La misma información debe constar, de forma claramente legible, en los
cuestionarios o impresos que puedan utilizarse para la recogida de la
información.
Tal deber de información debe llevarse a cabo de forma que permita acreditar su
cumplimiento. La acreditación deberá conservarse todo el tiempo que persista el
tratamiento de los datos
Si los datos no se obtienen del propio interesado: en los casos en que los datos no
proceden del interesado los cambios introducidos por el Reglamento son mayores que
el caso anterior.
La Ley estableció la obligación de informar en los tres meses siguientes a la obtención
de los datos, supuesto que ahora el Reglamento reduce como máximo a 1 mes.
Y determinó como excepciones los casos en que una Ley lo prevé expresamente, el
tratamiento con fines históricos, estadísticos o científicos, o cuando resulte imposible
o exija un esfuerzo desproporcionado, en atención al nº de interesados, antigüedad de
los datos o posibles medidas compensatorias.
52
específicamente a un niño”. Añade que “será facilitada por escrito o por otros
medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el
interesado, la información podrá facilitarse verbalmente siempre que se
demuestre la identidad del interesado por otros medios”
Utiliza también el Reglamento la distinción anterior, según que los datos hayan
sido o no obtenidos del propio interesado, para determinar la extensión y
condiciones del deber de información.
Igualmente, distingue entre información para conocimiento del interesado e
información necesaria para garantizar un tratamiento leal y transparente.
53
en las que se traten dichos datos;
b) si los datos personales han de utilizarse para comunicación con el
interesado, a más tardar en el momento de la primera comunicación a dicho
interesado, o
c) si está previsto comunicarlos a otro destinatario, a más tardar en el
momento en que los datos personales sean comunicados por primera vez
54
En la siguiente tabla puede apreciarse dicho sistema:
“Guía para el cumplimiento del deber de informar”: Agencia Española de protección de datos, Agencia
Vasca de Protección de datos y Agencia Catalana de Protección de Datos
Finalmente, entre las obligaciones básicas que supone para el responsable la implantación del
proceso de protección de datos, formando también parte del principio de responsabilidad
proactiva que ya hemos mencionado en páginas anteriores, se encuentran las que ahora
tratamos.
55
El Reglamento comunitario se muestra más flexible que nuestra normativa interna a la
hora de abordar la seguridad en la protección de datos. Así, establece que el responsable y
el encargado del tratamiento adoptarán las medidas técnicas y organizativas apropiadas para
garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la
técnica, los costes de aplicación, la naturaleza, alcance, contexto y fines del tratamiento, así
como los riesgos de probabilidad y gravedad variables para los derechos y libertades.
Así pues, ya no se trata tanto de determinar el nivel de seguridad en función del tipo de datos
sino teniendo en cuenta los distintos riesgos que puedan afectar a las operaciones de
tratamiento.
El considerando 75 del texto europeo se refiere a tales riesgos, estableciendo algunos de los
supuestos en los que estos pueden ser importantes como los tratamientos que puedan provocar
daños físicos, los que puedan producir problemas de discriminación, fraude, pérdidas
financieras, casos en que se prive a los interesados de sus derechos y libertades, se evalúen
aspectos personales, se traten datos de personas especialmente vulnerables, supuestos en que
los datos revelen el origen étnico, ideología, creencias, salud, vida sexual,…, o cuando el
tratamiento implique una gran cantidad de datos o un número elevado de interesados.
El nivel de seguridad que, en función de los criterios anteriores se adopte, incluirá, en su caso,
entre otras las siguientes medidas:
Se establece para verificar que las medidas adoptadas se adecúan al riesgo que han de tenerse
en cuenta especialmente los riesgos que presente el tratamiento como consecuencia de la
destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos,
56
conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos
datos.
Para demostrar el cumplimiento de los requisitos exigidos a las medidas adoptadas se
establece la utilidad de los códigos de conducta y los mecanismos de certificación a que nos
referiremos más adelante.
57
Evaluación de impacto y consulta previa:
Las hemos contemplado ya, pero desde el punto de vista de la seguridad establece el
Reglamento que cuando sea probable que un tipo de tratamiento, en particular si
utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto
riesgo para los derechos y libertades de las personas físicas, el responsable del
tratamiento realizará, antes del tratamiento, una evaluación del impacto de las
operaciones del mismo en la protección de datos personales. Una única evaluación
podrá abordar una serie de operaciones de tratamiento similares que entrañen altos
riesgos también similares.
En especial, se realizará cuando se trate de alguno de los tres casos siguientes:
58
Junto a la evaluación de impacto, recoge el texto la Consulta previa del responsable
a la Autoridad de Control antes de proceder al tratamiento cuando una evaluación
de impacto muestre que éste entraña alto riesgo si no se adoptan las medidas al efecto.
Además, se prevé que el Derecho de los Estados miembros podrá obligar a los
responsables del tratamiento a consultar a la autoridad de control y a recabar su
autorización previa en relación con el tratamiento por un responsable en el ejercicio
de una misión realizada en interés público, en particular el tratamiento en relación con
la protección social y la salud pública.
Se trata de una figura nueva cuyas funciones no coinciden con las del “Responsable de
Seguridad” del que habla nuestra Ley, pues le corresponde:
59
Nos detenemos ahora en uno de los aspectos esenciales de la normativa sobre protección de datos:
el reconocimiento a los ciudadanos interesados de una serie de derechos y el establecimiento de
las condiciones para su ejercicio y tutela.
El éxito de una adecuada política de protección de datos recae en buena medida en la forma en que se
gestione esta materia.
El Reglamento comunitario, además de recoger los derechos tradicionales, introduce notables
novedades también en este aspecto.
Nuestra Ley Orgánica de Protección de Datos contempla una serie de derechos, entre los que destacan
los 4 básicos que conocemos como “derechos ARCO”: Acceso, Rectificación, Cancelación y
Oposición.
El Reglamento de la Unión amplía su número y modifica algunas denominaciones, aunque podemos
afirmar que los derechos de la Ley se encuentran incluidos entre los que proclama la norma europea.
Nuestra exposición tratará, por tanto, los derechos del interesado tal como se regulan en el
Reglamento.
El plazo para atender los derechos es de 1 mes (en caso necesario, prórroga de
dos meses)
Los responsables deberán tomar medidas para verificar la identidad de quienes
soliciten acceso y de quienes ejerzan los restantes derechos.
El responsable que trate una gran cantidad de información sobre un interesado
60
podrá pedir a éste que especifique la información a que se refiere su solicitud de
acceso.
El responsable podrá contar con la colaboración de los encargados para atender al
ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el
contrato de encargo de tratamiento
Forma de atención a los derechos: si la solicitud se presentó por medios
electrónicos, la información se facilitará por tales medios si es posible, salvo que
el interesado solicite otra forma
Si no se atiende el derecho: el responsable habrá de informar al interesado, en
plazo máximo de 1 mes, de la recepción de la solicitud, las razones de la no
atención, la posibilidad de reclamar ante la autoridad de control y la posibilidad
del ejercicio de acciones judiciales
Veamos a continuación, de forma breve, cada uno de los derechos que recoge el texto
comunitario.
Derecho de rectificación: consiste en obtener sin dilación indebida del responsable del
tratamiento la rectificación de los datos personales inexactos del interesado. Ello
61
incluye el derecho a que se completen los datos personales incompletos, inclusive
mediante una declaración adicional.
Para hacerlo efectivo será necesario que el interesado indique a qué datos se refiere y
qué corrección hay que realizar. Además, cuando sea preciso, se acompañará la
documentación que justifique la inexactitud o el carácter incompleto de los datos.
De forma más sencilla podemos decir que es el derecho que todos tenemos a solicitar que
los enlaces a nuestros datos personales no figuren en los resultados de una búsqueda en
Internet.
62
suspender el procedimiento y llevar el caso al Tribunal de Justicia de la Unión Europea.
En 2014 se pronunció el Tribunal disponiendo en su Sentencia de 13 de mayo: “…el
gestor de un motor de búsqueda está obligado a eliminar de la lista de
resultados obtenida tras una búsqueda efectuada a partir del nombre de una
persona, vínculos a páginas web, publicadas por terceros y que contienen información
relativa a esta persona, también en el supuesto de que este nombre o esta información no
se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la
publicación en dichas páginas sea en sí misma lícita”.
63
personales a solicitud del interesado cuando se den ciertas condiciones:
Supuesto en que el responsable no haya hecho públicos los datos: los supuestos en
que procederá la supresión son:
Los datos ya no resultan necesarios para la finalidad para la que se
recogieron
El interesado retira el consentimiento que prestó
Los datos han sido tratados ilícitamente
Deben suprimirse para el cumplimiento de una obligación legal
Los datos personales se han obtenido en relación con la oferta de servicios
de la sociedad de la información a niños
Supuesto en que el responsable haya hecho público los datos: teniendo en cuenta la
tecnología disponible y el coste de su aplicación, el responsable habrá de adoptar
medidas razonables, incluidas las técnicas, para informar a los responsables que estén
tratando los datos de la solicitud del interesado de supresión de cualquier enlace a esos
datos o de cualquier copia de los mismos.
Excepciones al borrado:
Para ejercer la libertad de expresión e información
Para cumplir una obligación legal
Por razones de salud pública
Con fines de archivo, investigación científica o histórica o fines estadísticos
Para formular, ejercer o defender reclamaciones.
En tales casos sólo será posible el tratamiento con consentimiento del interesado, para
64
reclamaciones, para la protección de los derechos de otra persona y por razones de interés
público.
Al derecho de limitación se le aplican los mismos plazos y condiciones que a los restantes
derechos en el Reglamento.
65
y el responsable
Cuando el tratamiento de los datos se fundamente en el consentimiento prestado
previamente por el interesado.
En estas excepciones, que no podrán afectar a categorías especiales de datos, el
responsable habrá de adoptar las medidas que garanticen el derecho a obtener la
intervención humana, a que el interesado sea oído y a que pueda impugnar la decisión.
66
El modelo de autoridad de control regulado en nuestro Derecho interno coincide
sustancialmente con el ahora establecido en el Reglamento Comunitario que lo hace extensivo
de forma obligatoria a los Estados miembros. Nos ocupamos en primer lugar de nuestra
Agencia de Protección de Datos y luego hacemos referencia a la normativa contenida al
respecto en el nuevo Reglamento.
67
Su personal está compuesto por funcionarios de las Administraciones Públicas y personal
contratado, y su presupuesto es integrado, con la debida independencia, en los Presupuestos
Generales del Estado.
68
Su estructura orgánica es la que aparece en el siguiente esquema, tomado de la propia
página web de la Agencia:
69
La Inspección de Datos: tiene por objeto la inspección de la legalidad de los
tratamientos. Actúa por denuncia de un afectado o en supuestos de “alarma
social”, o en ejecución de un Plan de Inspección de oficio. Destaca su labor de
inspección preventiva para supuestos de extrema gravedad, con objeto de
conocer el modo en que se realizan los tratamientos en un sector de actividad.
Además debemos reseñar sus funciones de instrucción en los procedimientos de
tutela de derechos y en el procedimiento sancionador. Para todo ello, podrá
inspeccionar los ficheros, solicitando la exhibición o el envío de documentos y
datos, inspeccionarlos en el lugar en que se encuentren, examinar los equipos
usados para el tratamiento, pudiendo con tal objeto acceder a los locales donde
se encuentren.
Hay que hacer también referencia a las Autoridades de control de las Comunidades
Autónomas previstas por el art. 41 de la Ley para ficheros creados y gestionados por la
Comunidad Autónoma o las Entidades Locales de su territorio. En la actualidad existen:
70
•Procedimientos relacionados con la Transferencia Internacional de Datos (nos
referiremos también a ellos más adelante en este manual)
•Procedimientos de Inscripción de Códigos Tipo (serán objeto de nuestro análisis en
módulos siguientes)
•Otros procedimientos tramitados por la AEPD: se regulan los dos siguientes:
Por lo que hace a los poderes que se atribuyen a dichas autoridades, se trata de poderes
de investigación, correctivos, de autorización y consultivos.
71
Cada autoridad de control elaborará un informe anual de sus actividades, que podrá
incluir una lista de tipos de infracciones notificadas y de tipos de medidas adoptada y
que se transmitirán al Parlamento nacional, al Gobierno y a las demás autoridades
designadas en virtud del Derecho de los Estados miembros. Se pondrán a disposición
del público, de la Comisión y del Comité Europeo de Protección de Datos.
Igualmente, se regulan las relaciones entre autoridades de control y se establece que en
los casos de tratamientos transfronterizos importantes en que estén implicadas varias
autoridades nacionales de control, se adoptará una única decisión de supervisión. Este
principio conocido como de ventanilla única significa que una empresa con filiales en
varios Estados miembros solo tendrá que tratar con la autoridad de protección de datos
del
Estado miembro de su establecimiento principal.
72
El tema de las transferencias internacionales de datos personales, tradicionalmente objeto de
intensos debates, sobre todo, en las relaciones entre los Estados Unidos y la Unión Europea,
volvió a la primera línea de actualidad cuando el 6 de octubre de 2015 el Tribunal de
Justicia de la Unión Europea declaró inválida la Decisión 2000/520/CE, sobre
adecuación de la protección conferida por los principios de “puerto seguro” para la
protección de la vida privada publicados por el Departamento de Comercio de EEUU. La
decisión coincidió, además, en el tiempo con la tramitación del nuevo Reglamento
Comunitario. Tras intensas negociaciones entre ambas partes, el nuevo marco diseñado en la
materia se ha incorporado al texto europeo. De ello nos ocuparemos más adelante en este
módulo.
Comencemos por la regulación que nuestra Ley Orgánica y su Reglamento contienen en
referencia a las transferencias internacionales.
El artículo 5 del Reglamento de desarrollo de la Ley recoge la definición de lo que ha de
entenderse por Transferencia Internacional de Datos: “Tratamiento de Datos que supone una
transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien
constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un
tratamiento de datos por cuenta del responsable del fichero establecido en territorio
español”.
La Ley le dedica sus artículos 33 y 34 (Título V: “Movimiento Internacional de Datos”) y
el Reglamento su Título VI.
Dos son los sujetos esenciales de dicho tratamiento, ambos definidos en el art. 5 referido:
•Exportador de Datos: persona física o jurídica, pública o privada, u órgano administrativo,
situado en territorio español que realiza una transferencia de datos a un país tercero
•Importador de Datos: persona física o jurídica, pública o privada, u órgano administrativo
receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya
sea responsable del tratamiento, encargado del mismo o tercero.
73
Como vemos, las operaciones equivalentes con países del Espacio Económico Europeo no
se consideran transferencias internacionales de datos sino cesiones, a efectos de aplicación de
la Ley.
La Ley recoge, en su art. 33, la prohibición general de transferencia a países que no
proporcionen un nivel de protección equiparable al nuestro, salvo autorización del
Director de la AEPD (dispone que no será tampoco necesaria dicha autorización cuando se
haya declarado que un país garantiza un nivel de protección adecuado mediante Decisión de
la Comisión Europea).
Corresponde a la Agencia evaluar el nivel de protección que ofrece el país tercero de que se
trate, atendiendo a las circunstancias que concurran en la transferencia, en particular, se
habrá de tener en cuenta la naturaleza de los datos, finalidad, duración del tratamiento, país de
origen y país de destino final, las normas jurídicas vigentes en el país de que se trate, los
informes de la Comisión de la Unión Europea, las normas profesionales y las medidas de
seguridad que estén en vigor en dicho país.
No obstante, a lo expuesto se excepcionan (es decir, no precisan autorización del Director
de la AEPD), en el art. 34 de la Ley, los siguientes supuestos:
•Transferencia que resulte de la aplicación de Convenios o Tratados en los que España sea
parte
•Transferencia para solicitar o prestar auxilio judicial internacional
•Transferencia necesaria para diagnóstico, asistencia sanitaria o tratamiento médico
•Transferencias dinerarias (conforme a su legislación específica)
•Consentimiento inequívoco del afectado
•Transferencia necesaria para ejecutar un contrato entre el afectado y el responsable del
fichero o la adopción de medidas contractuales a petición del afectado
•Transferencia necesaria para la ejecución de un contrato celebrado o por celebrar, en interés
del afectado, entre el responsable del fichero y un tercero
•Transferencia necesaria o legalmente exigida para la salvaguarda del interés público (se
incluyen expresamente las solicitadas por una Administración fiscal o aduanera para el
cumplimiento de sus competencias)
•Transferencia precisa para el reconocimiento, ejercicio o defensa de un derecho en un
proceso judicial
•Transferencia efectuada a petición de persona con interés legítimo, desde un Registro
Público y que sea acorde con la finalidad del mismo
74
•Transferencia con destino a un Estado miembro de la UE, o a un Estado respecto del cual la
Comisión de la Unión Europea haya declarado que garantiza un nivel de protección adecuado.
75
A falta de decisión de adecuación, el Reglamento establece una serie de instrumentos
que se consideran garantías adecuadas para legitimar la transferencia, así cláusulas
tipo, normas corporativas vinculantes, códigos de conducta, mecanismos de
certificación,… (de ellos nos ocupamos en el módulo siguiente).
76
Tanto nuestra normativa interna como el nuevo Reglamento Comunitario tratan de fomentar
la autorregulación de las empresas en materia de protección de datos. Nuestra Ley Orgánica
pretende que ello se haga a través de los denominados Códigos Tipo. De forma parecida
operarían como veremos los dos instrumentos recogidos en el texto europeo: los códigos de
conducta y los mecanismos de certificación.
La Ley Orgánica de Protección de Datos dedica a los llamados Códigos Tipo su art. 32 que
luego desarrolla en su Reglamento de desarrollo en el Título VIII.
Podríamos definir dichos códigos tipo como los compromisos a los que pueden llegar los
responsables de tratamiento o las organizaciones en que estos se agrupen, con objeto de
determinar, en palabras de la Ley, “las condiciones de organización, régimen de
funcionamiento, procedimientos aplicables, normas de seguridad del entorno,
programas o equipos, obligaciones de los implicados en el tratamiento y uso de la
información personal, así como las garantías, en su ámbito, para el ejercicio de los
derechos de las personas con pleno respeto a los principios y disposiciones de la presente
Ley y sus normas de desarrollo”.
77
En cuanto a su contenido, establece el art. 73 del Reglamento de desarrollo de la Ley que
deberán redactarse en términos claros y accesibles, respetando la normativa vigente, y
contener:
Los promotores, o los órganos que al efecto se designen asumen la obligación de mantener el
código accesible al público, remitir a la AEPD una memoria anual sobre sus actividades
de difusión, favoreciendo la plena accesibilidad de todas las personas, especialmente las
discapacitadas o de edad avanzada.
Por último, tienen también la obligación de evaluar periódicamente (al menos cada 4 años)
la eficacia del código, midiendo el grado de satisfacción de los afectados, y mantener
actualizado su contenido para adaptarlo a la normativa vigente en cada momento.
78
Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)
Como comentamos al inicio de este módulo, la implicación de las empresas
intervinientes en el tratamiento de datos se trata de conseguir en el Reglamento
Comunitario, entre otras fórmulas, con la adhesión de las mismas a Códigos de
Conducta y mecanismos de certificación.
Respecto de los Códigos de Conducta se establece que los Estados miembros, las
autoridades de control, el Comité y la Comisión promoverán la elaboración de códigos
de conducta destinados a contribuir a la correcta aplicación del Reglamento,
teniendo en cuenta las características específicas de los distintos sectores de
tratamiento y las necesidades específicas de las microempresas y las pequeñas y
medianas empresas.
Las asociaciones y otros organismos representativos de categorías de responsables o
encargados del tratamiento podrán elaborar códigos de conducta o modificar o ampliar
dichos códigos para especificar la aplicación del Reglamento en materias como la
recogida y seudonimización de datos, información proporcionada, ejercicio de los
derechos por los interesados, transferencias internacionales,…
El proyecto, la modificación o ampliación deberá presentarse a la autoridad de
control competente para su aprobación.
79
Dedica la Ley Orgánica su Título VII a esta materia. Por su parte, el Reglamento de
desarrollo de la Ley la regula, dentro de su Título IX, dedicado a los Procedimientos
tramitados por la AEPD, en su Capítulo III sobre los “Procedimientos relativos al
ejercicio de la Potestad Sancionadora”.
Más recientemente, la Ley de Economía Sostenible, Ley 2/2011, de 4 de marzo modificó
parcialmente los preceptos de la ley dedicados a la materia.
80
Recoge el derecho a la tutela judicial efectiva contra el responsable o
encargado del tratamiento ante los Tribunales del Estado miembro en que
tengan su establecimiento. Alternativamente, tales acciones podrán ejercitarse
ante los tribunales del Estado miembro en que el interesado tenga su residencia
habitual, a menos que el responsable o el encargado sea una autoridad pública
de un Estado miembro que actúe en ejercicio de sus poderes públicos.
Toda persona que haya sufrido daños y perjuicios materiales o inmateriales
como consecuencia de una infracción del Reglamento tendrá derecho a recibir
del responsable o del encargado del tratamiento una indemnización por los
daños y perjuicios sufridos
Se establece la obligación de las autoridades de control de garantizar que la
imposición de multas administrativas por infracción del Reglamento sean
efectivas, proporcionales y disuasorias y establece una serie de criterios para
determinar su cuantía. Se establecen, como vimos, multas que pueden llegar
hasta los 20 millones de euros, o, si se trata de empresas, hasta el 4% de su
volumen de negocio. Y se remite a la normativa de los Estados Miembros para
sanciones distintas de las multas.
De forma esquemática exponemos a continuación las líneas esenciales sobre las multas y la
indemnización de los daños y perjuicios sufridos:
Multas
Corresponde a las autoridades de control de los Estados miembros garantizar que la las
multas administrativas impuestas sean en cada caso individual efectivas,
proporcionadas y disuasorias
Se utilizarán criterios de graduación para la imposición de las multas
administrativas: entre otros que enumera el art. 83 del Reglamento destacan:
la naturaleza, gravedad y duración de la infracción, intencionalidad o negligencia
en su comisión, toda infracción anterior cometida, grado de cooperación con la
autoridad de control, categoría de datos afectados,…
Cuantías de las multas distintas según los preceptos del Reglamento infringidos. Las
máximas no pueden superar los 20.000.000 de euros o, tratándose de una empresa, una
cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del
81
ejercicio financiero anterior, optándose por la de mayor cuantía
Cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida,
imponer multas administrativas a autoridades y organismos públicos establecidos en
dicho Estado miembro
Los Estados miembros establecerán las normas cuando se trate de sanciones distintas
de las multas administrativas aplicables a las infracciones del Reglamento
82
Todo usuario debe conocer sus obligaciones en materia de seguridad y protección de datos. En caso
contrario, bien por acción u omisión, podría incurrir en infracción de la normativa de protección de
datos.
En los siguientes apartados enumeraremos medidas y precauciones básicas que han de adoptarse
cuando, por nuestra función, tenemos acceso, aunque sea indirecto, a datos personales.
Los códigos de usuario y contraseñas son de uso exclusivo del usuario y NO se compartirán
en ningún caso con otros usuarios. Se trata de datos personales. Debe insistirse en que en
NINGÚN CASO deberán comunicarse las contraseñas a tercero.
Para la selección de una contraseña se evitarán nombres comunes, repeticiones de un único
carácter, números de teléfonos, matriculas de vehículos, nombres de familiares y amigos u
83
otras fácilmente deducibles. Tampoco se utilizará el nombre del usuario o derivados del
mismo.
Se recomienda que la contraseña tenga un mínimo de 6 caracteres y se cambie, por lo menos,
cada 90 días.
La contraseña asignada al usuario para acceder por primera vez al sistema, deberá ser
cambiada al efectuar este primer acceso
Las contraseñas deberán aprenderse y ser recordadas por el usuario. No deben anotarse en
ningún papel. Queda terminantemente prohibido anotarlas en un “post it” y pegarlas en la
pantalla o en el teclado (aunque parezca mentira sigue siendo frecuente).
84