La materia prima sobre la que se desarrolla la sociedad actual es la información. Las empresas e instituciones la recogen para poder analizarla y, con base en ella, tomar decisiones que les permitan mejorar su rendimiento en el mercado y operar con ventaja competitiva y eficiencia. Mucha de esta información es la que les proveen los distintos grupos de interés o stakeholders que interactúan con ellas. Dentro de esta información se incluyen datos personales de todo tipo que, si bien generan beneficios para las compañías, siguen perteneciendo a las personas físicas interesadas, soberanas de sus datos. Un inadecuado tratamiento de los datos personales puede afectar negativamente a quienes los proveen, llegando, inclusive, a poner en riesgo su seguridad.
Por esta razón, en mayo de 2018 y tras un periodo transitorio de dos años, entró en vigor dentro del territorio de la Unión Europea el Reglamento General de Protección de Datos (RGPD), una normativa unificadora de los distintos criterios legales de cada estado miembro que busca garantizar la protección de los datos personales de las personas físicas, y a través de ello, de sus derechos y libertades fundamentales.
En aplicación de esta normativa comunitaria, España publicó a finales de ese mismo año, la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (LOPD GDD), que desarrolla el RGPD e impone obligaciones para cualquiera que trate datos de carácter personal fuera del ámbito doméstico.
Ambas normativas están basadas en una serie de principios (licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, integridad y seguridad, plazo de conservación y responsabilidad proactiva) y derechos de los ciudadanos (información, acceso, rectificación, oposición, supresión u olvido, limitación del tratamiento, portabilidad, a no ser objeto de decisiones individualizadas exclusivamente automatizadas, etc.) que deben ser considerados por quienes recogen y tratan estos datos personales.
También diversas obligaciones, como tratar los datos con una base legitimadora adecuada y previa información de las personas cuyos datos se tratan (los interesados), y solo para las finalidades sobre las que se ha informado, la llevanza del registro de las actividades de tratamiento realizadas, la garantía de la seguridad de la información y la notificación de brechas de seguridad a las autoridades, cuando las medidas de protección adoptadas fallen.
El no respetar los derechos de los ciudadanos en materia de privacidad, el no cumplir con las obligaciones de protección de datos o el transgredir los principios de la normativa puede significar para quienes tratan la información sanciones de tipo administrativo y responsabilidades civiles. En el caso de las sanciones administrativas, pueden incluir multas con tipos máximos que van desde 10 millones de euros o el 2% del volumen del negocio global anual de la compañía hasta 20 millones de euros o el 4% del volumen del negocio global anual del ejercicio anterior, la que resulte mayor.
Aunque lo cierto es que estos máximos no se han alcanzado hasta la fecha y las sanciones suelen ser menores, el margen sancionador es amplio. Además, la Agencia Española de Protección de Datos es de las autoridades de control nacionales más activas por número de sanciones impuestas al año.
Conceptos básicos de la protección de datos de carácter personal
Pero para que podáis entender con claridad lo referido a la protección de datos de carácter personal, es necesario tener en cuenta los conceptos básicos alrededor de los cuales se estructura la normativa actual. En razón de esto, a continuación tendréis un glosario útil para consulta, también os dejamos enlaces a artículos más extensos sobre cada término.
Análisis de Riesgos:
Es una valoración de los factores que pueden generar un riesgo para la seguridad de las personas cuyos datos son tratados por las organizaciones. Dichos factores pueden ser los siguientes:
- El propio proceso de tratamiento de los datos personales
- El tipo de datos
- La cantidad de datos tratados
- Quiénes son las personas interesadas en dichos datos
- La tecnología usada para el tratamiento de los datos
- Cómo se recoge los datos
- Consecuencias del tratamiento
- Quién es el encargado
- La transferencia y difusión de los datos
- Las brechas de seguridad existentes
Las organizaciones deben asegurarse de documentar la información sobre la que harán la valoración del riesgo. Y, con base en los resultados obtenidos, deberán aplicar las medidas necesarias para mitigar el riesgo hasta un nivel aceptable, conforme al Reglamento General de Protección de Datos. Si no es posible, deberán valorar si descartar realizar el tratamiento.
Anonimización:
Es un proceso mediante el cual los datos personales pierden las características que posibilitan la identificación de las personas concretas a las que pertenecen. Sin embargo, sí permiten su utilización para el fin que fueron originalmente recogidos, o para fines ulteriores.
En efecto, anonimizar un conjunto de datos supone en sí mismo un tratamiento de datos personales de la información recibida, pero posteriormente, la información anónima, al no contener datos personales, podrá ser usada fuera del ámbito de lo dispuesto por el RGPD.
Para que una anonimización sea efectiva, será necesario que la empresa diseñe un tratamiento de datos de privacidad por diseño que considere el riesgo de una posible reidentificación a futuro y su afectación a los derechos y libertades de las personas. La información solamente será anónima si la reidentificación no es posible.
Autoridad de Control:
Es la autoridad designada por cada estado miembro de la UE para asumir funciones de supervisión de la aplicación del RGPD, así como de resguardo de los derechos y libertades de los ciudadanos durante el tratamiento de sus datos personales. También debe proveer las facilidades para la libre circulación de este tipo de información, colaborar con las autoridades de otros estados en la materia y representar a su país ante el Comité Europeo de Protección de Datos.
Autoridad de control interesada
Se considera así a la autoridad de control que deberá intervenir en la supervisión de un determinado tratamiento, esto depende de que el responsable, encargado o interesados estén establecidos en el territorio donde rige o que se haya presentado un reclamo ante ella.
Bases de legitimación:
Son los fundamentos jurídicos sobre los que se basa el tratamiento, pudiendo ser el consentimiento informado, una relación contractual, los intereses vitales de las personas, una obligación legal del responsable, el interés público o algún otro interés legítimo del responsable o terceros.
Estas bases deben ser documentadas adecuadamente en cumplimiento con lo indicado por el RGPD.
Cifrado de extremo a extremo
Es un mecanismo de seguridad utilizado en la red para proteger las comunicaciones, codificándolas y convirtiendo el mensaje enviado en algo ilegible, que solo podrá ser leído mediante la utilización de una clave que solo es conocida por el destinatario y el emisor. Protege, de esta manera, la privacidad de la información.
Cláusulas Contractuales Tipo
Las Cláusulas Contractuales Tipo (o Standard Contractual Clauses, “SCC”) son un mecanismo cuya versión más moderna está recogida en la Decisión de Ejecución (UE) 2021/914. Sirven para garantizar que las transferencias internacionales de datos personales desde el territorio de la Unión Europea hacia un tercer país se realizan dentro del marco de lo establecido por el RGPD, garantizando los derechos de protección de datos de los interesados.
Este mecanismo toma la forma de un contrato que es firmado por las partes (importador y exportador de los datos), ya sea que cumplan el papel de responsable, encargado o subencargado de tratamiento. De esta manera, las SCC tienen un carácter legalmente vinculante que obliga a los involucrados a su cumplimiento.
Consentimiento del interesado:
Es la expresión de aceptación libre, voluntaria, específica, informada e inequívoca de una persona para que se realice el tratamiento de sus datos personales. Lo cual puede hacer de manera declarativa o con una acción afirmativa, por lo que no se consideran como tal las omisiones o acciones tácitas.
Corresponsables de tratamiento:
Se consideran así a las personas u organizaciones que comparten la función de responsables del tratamiento de datos personales. La regulación de esta corresponsabilidad será establecida de mutuo acuerdo y de forma clara, determinando las obligaciones de cada parte, especialmente en lo relativo al ejercicio de derechos de los interesados y el deber de informar.
Datos biométricos:
Es la información relativa a las características físicas, fisiológicas o conductuales que permiten o aseguran la identificación única de una persona. Por ejemplo, las huellas digitales o los patrones biométricos faciales.
Datos genéticos:
Se llama así a los datos respecto de las características genéticas, ya sean heredadas u adquiridas, de una persona, la cual permite conocer su información de salud o fisiológica y que es adquirida mediante el análisis de una muestra biológica.
Datos personales:
Son denominados así los datos de cualquier tipo relativos a una persona identificada o identificable. Algunos ejemplos son los nombres, el DNI, la dirección IP, la información de geolocalización, genética, de salud, etc.
Datos personales especialmente protegidos:
Se consideran de esta manera a los datos personales que, por su naturaleza, son especialmente sensibles y cuyo tratamiento puede derivar en riesgos para las libertades y derechos de las personas, como los relacionados al origen étnico de los individuos, las convicciones políticas o religiosas, la orientación sexual, datos de salud o biométricos, entre otros.
De acuerdo al RGPD, está prohibido el tratamiento de este tipo de datos personales salvo excepciones específicas mencionadas en el artículo 9 de dicho cuerpo legal.
Datos relativos a la salud:
Es la información respecto al estado de salud físico o mental de una persona. Se incluyen dentro de este tipo de datos los derivados de la atención sanitaria.
Delegado de Protección de Datos:
Es una persona designada por los organismos públicos (excepción hecha de los tribunales), instituciones que tratan datos sensibles o cuyo tratamiento es de amplio alcance o requiera una observación habitual por su naturaleza o fines y que tiene como funciones:
- Asesorar e informar a los responsables o encargados del tratamiento sobre el cumplimiento de lo establecido en el RGPD y otras disposiciones derivadas.
- Supervisar que el tratamiento se realice de acuerdo a lo establecido por la normativa.
- Asesorar y supervisar el desarrollo de evaluaciones de impacto de la protección de datos.
- Cooperar con la autoridad de control y ser un punto de contacto y de consulta con la misma.
Derecho a no ser objeto de decisiones individualizadas exclusivamente automatizadas:
Constituye la facultad de las personas de solicitar que sus datos no sean utilizados para la toma de decisiones o medidas de forma automatizada que afecte únicamente a una persona. Por ejemplo, la utilización de inteligencia artificial para determinar, mediante el cotejo de datos múltiples, si una persona es elegible para un crédito o no. También restringe la posibilidad de elaboración de perfiles o perfilado con base en datos personales, cuando este perfilado tenga consecuencias jurídicas.
Sin embargo, el RGPD señala excepciones a este derecho:
- Cuando se trata de celebraciones de contratos que así lo requieran.
- Cuando haya un consentimiento previamente concedido.
- Cuando el orden legal lo permita, y se cuente con las garantías de salvaguarda de los derechos y libertades del interesado.
Además, en los dos primeros casos la persona interesada deberá tener la posibilidad de solicitar la intervención humana en el tratamiento, expresar su punto de vista e impugnar la decisión.
Derecho de acceso:
Por medio de este derecho se faculta al interesado a obtener confirmación del tratamiento de sus datos, así como a recibir una copia de los mismos y:
- A saber cuáles han sido recogidos.
- Los fines del tratamiento.
- Los destinatarios o categoría de destinatarios de sus datos, en especial si pertenecen a países fuera del ámbito de la UE.
- El tiempo de conservación de su información y el criterio para determinar dicho período.
- Información sobre sus derechos de supresión o rectificación y de presentar una reclamación ante una autoridad de control.
- Información acerca del origen de los datos.
- Conocimiento sobre el uso de automatización en el tratamiento de sus datos y la elaboración de perfiles.
Derecho de información:
La transparencia o derecho de información es la facultad del interesado de tener conocimiento sobre algunas características del tratamiento de sus datos, como sus derechos, quién es el responsable, la finalidad, la política de privacidad, etc.
Dependiendo de si el propio interesado proporciona sus datos o no, esta puede ser entregada por el responsable:
- Antes de la recogida de los datos, si es el propio interesado quien los proporciona.
- Si se recogen de otras fuentes de manera legítima:
- En el plazo de 30 días después de obtenidos los datos personales,
- Antes de la primera comunicación con el interesado o, en su defecto, durante esta.
- Antes de su comunicación a otros destinatarios.
El envío de esta información no depende del requerimiento del interesado, sino que debe ser proactivo y también habrá de demostrarse su cumplimiento, salvo las excepciones que especifica el RGPD.
Derecho de limitación del tratamiento:
Este derecho habilita al interesado a detener el borrado o la modificación de sus datos personales por parte del responsable cuando ha ejercido sus derechos de rectificación u oposición, o en otras situaciones como cuando el tratamiento es ilegal o ya no se necesita su conservación, pero la persona desea realizar una reclamación.
Durante el tiempo de limitación los datos personales solo podrán ser utilizados con el fin de conservación, sin embargo esto puede cambiar si así lo consiente el interesado, para reclamaciones, para proteger los derechos de otras personas (ya sean físicas o jurídicas) y para fines de interés público.
Derecho de portabilidad:
Es la posibilidad de que el interesado solicite la transferencia de un responsable a otro de los datos personales propios. Dicha transmisión deberá hacerse en un formato estructurado, de uso común, lectura mecánica e interoperable. Pero deberá hacerse bajo las siguientes condiciones:
- Que haya sido el propio interesado quien entregó los datos en cuestión a la institución responsable.
- Que el tratamiento se haya realizado por medios automatizados.
- Que el tratamiento tenga como base el consentimiento o un contrato con el interesado.
Derecho de oposición:
Gracias a este derecho, el interesado tiene la potestad de oponerse a que se traten sus datos, así sea para fines de interés público o legítimo (salvo excepción de imperiosa necesidad). Este derecho alcanza al perfilado.
Derecho de rectificación:
Habilita al interesado a solicitar que se corrijan o completen sus datos personales que son parte de un tratamiento, de manera inmediata.
Derecho de supresión u olvido:
Por este derecho, el interesado puede pedir la eliminación de sus datos personales de los archivos de la institución que los trataba, lo cual deberá ser cumplido sin mediar dilación alguna. Los casos en los que es posible solicitar esto son:
- Ante el tratamiento ilícito de los datos.
- Cuando ya no sean necesarios para el fin inicialmente establecido para el tratamiento.
- Si previamente se ha presentado oposición al tratamiento.
- Cuando así lo mande una obligación legal del país o de la Unión Europea.
- Cuando se trate de los datos de menores de 16 años, en relación con la oferta de la sociedad de servicios de la información.
Destinatario de los datos:
Se considera así a la persona natural, institución, empresa u organismo, que sea el receptor de los datos de una persona (siempre que no sea ella misma). El RGPD exceptúa de esta calificación a las autoridades que desarrollen investigaciones conforme al derecho de la Unión y sus países miembros.
Encargado del tratamiento
Es la persona o institución a la que el responsable le encargó la tarea de realizar el tratamiento de datos por su cuenta, quien por tanto deberá garantizar el cumplimiento del RGPD y el respeto por los derechos y libertades de las personas.
Establecimiento principal
Es la denominación que recibe el lugar donde se ubica la administración central o donde se toman las principales decisiones de una empresa responsable o encargada que tiene varios establecimientos en la Unión Europea.
En el caso de que una empresa encargada no tenga tal lugar en la Unión, podrá tomarse como establecimiento principal aquel donde se realizan las principales actividades de tratamiento.
Evaluación de Encargados:
Evaluación de Impacto de Protección de Datos:
Es el análisis sistémico y exhaustivo que una institución o empresa realiza previo al tratamiento de los datos personales, cuando sea probable que este, por su naturaleza, fines, contexto o alcance, pueda entrañar un riesgo para los derechos y libertades de las personas.
Fichero:
Es un conjunto estructurado de datos personales al que se puede acceder siguiendo determinados criterios, sin importar su ubicación funcional o geográfica.
Fingerprinting:
Grupo empresarial:
Son el grupo de empresas en diversos sectores de la economía que pertenecen a un mismo propietario o propietarios. Dichas empresas responden siempre en relación de subordinación o subsidiaria a una matriz, que está encargada de controlarlas.
Interesado:
Es la persona física a la que se refieren los datos personales y que está identificada o puede ser identificable (de manera directa o indirecta) utilizando un dato identificador (una característica que le pertenece) o cruzando un conjunto de datos.
Identificación directa
Identificación indirecta
Normas corporativas vinculantes (binding corporate rules):
Son las políticas que todos los miembros de un grupo empresarial o unión de empresas deben cumplir alrededor de la protección de datos personales. Estas permiten hacer transferencias internacionales de datos a territorios que se encuentren fuera de la Unión Europea otorgando las garantías necesarias de respeto a los derechos y libertades de los ciudadanos europeos.
Por tanto, en estas normas debe incluirse lo siguiente:
- La estructura del grupo empresarial
- Los datos que se tratan, el tipo de tratamiento y los países a los que se transferirán.
- La obligación expresa de su cumplimiento.
- La base del tratamiento y los principios de protección de datos personales.
- Los derechos de los interesados.
- Las obligaciones del responsable.
- Las disposiciones de acceso a la información por parte del interesado.
- Los mecanismos de reclamación.
- Las medidas internas de control del cumplimiento de la normativa.
- La forma en que se actualizarán las normas de acuerdo a la estructura legal vigente.
- Los mecanismos de comunicación con las autoridades de protección de datos.
- Cómo se capacitará al personal en la materia.
Para que las Normas Corporativas Vinculantes (BCR, en inglés) sean válidas, primero deberán ser aprobadas por la correspondiente autoridad de control.
Objeción pertinente y motivada:
Es la potestad que tienen las personas o instituciones de la Unión Europea de presentar un alegato discrepante frente a decisiones relativas a la protección de datos personales, pero que se encuentre enmarcado dentro del RGPD y el respeto de los derechos y libertades de las personas y la libre circulación de los datos dentro del territorio europeo.
Observación habitual y sistemática:
Se considera de esta manera a la observación del comportamiento de los interesados que tiene las características de repetirse durante un período de tiempo, en determinados momentos o que es periódica. También cuando se realiza siguiendo un sistema, de manera organizada, dentro de un plan o estrategia de seguimiento.
Perfilado:
Es una forma de tratamiento de datos automatizada que permite analizar o predecir el comportamiento de una persona en relación a su rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física. La elaboración de perfiles está restringida por el RGPD, por su potencial alto impacto en el interesado.
Principio de licitud, lealtad y transparencia:
Este conjunto de principios obliga a quien trata los datos de una persona a hacerlo dentro de los límites legales del RGPD y normativa específica de los estados miembros. Asimismo, a hacerlo de manera leal y habiendo informado al interesado de las características del tratamiento.
Principio de limitación de la finalidad:
Según este principio, la institución que trata datos personales debe hacerlo acorde a una finalidad clara, establecida con anterioridad, y que se enmarque dentro lo establecido del RGPD. No para ninguna otra.
Principio de minimización de datos:
Por este principio, las organizaciones solo podrán recoger y almacenar los datos personales que sean necesarios (adecuados, pertinentes y limitados) para cumplir con la finalidad del tratamiento prevista, no pudiendo recolectar o guardar ningún otro dato adicional.
Principio de exactitud:
De acuerdo a este principio, los datos personales que serán tratados deben ser exactos y estar actualizados, de manera que se puedan salvaguardar los derechos e intereses de los afectados. De no ser así, las empresas responsables o encargadas deberán rectificar o suprimir las informaciones.
Principio de integridad y seguridad:
Este principio requiere que las instituciones que traten datos personales garanticen la seguridad e integridad de los mismos, aplicando las medidas técnicas y organizativas que se requieran para tal fin. Dentro de esto se incluye la posibilidad de ataques cibernéticos, pérdida, destrucción o daño accidental, demandando una actitud proactiva frente a esto.
Principio del plazo de conservación:
Principio que exige que las organizaciones conserven los datos personales que han de tratar solo durante el tiempo que se requiera para cumplir con la finalidad determinada. Luego de esto, toda esta información deberá ser borrada o desprovista de información que permita identificar a personas reales.
Principio de responsabilidad proactiva:
Con este principio, se demanda de las empresas que cumplan con los demás principios por motu proprio, cumpliendo con adaptar su estructura organizacional y operativa a la normativa de la materia y teniendo la responsabilidad de demostrar tal cumplimiento ante las autoridades. Para ello, les exige una actitud consciente, diligente y proactiva en la protección de datos personales.
Privacidad por defecto:
Es una forma que tienen las organizaciones para garantizar el respeto por la privacidad de los interesados adoptando la estructura organizacional y operativa para que solo se traten los datos personales necesarios para los fines establecidos.
Privacidad desde el diseño:
Es una forma de privacidad que exige que las instituciones adapten su estructura organizacional y operativa para cumplir con los principios de protección de datos establecidos por la normativa y se otorguen las garantías necesarias.
Ransomware:
Software malicioso diseñado para bloquear el acceso a un sistema informático hasta que se pague una suma de dinero.
Representante:
Es la persona natural o jurídica nombrada por el responsable o el encargado para ser quien lo represente ante la Unión Europea en materia de protección de datos personales y quien responda por las obligaciones que les corresponden. Para ser representante, es necesario tener domicilio en un país miembro de la Unión.
Registro de Actividades de Tratamiento:
Es una de las medidas de responsabilidad proactiva que exige el RGPD, por la cual quienes realizan un tratamiento de datos personales deben llevar un registro de todas las acciones relativas al mismo con la siguiente información:
- Nombres y datos de contacto del responsable, corresponsable, representante, encargado y subencargado (de acuerdo a cada caso).
- La finalidad del tratamiento.
- Las categorías de interesados, datos personales y destinatarios.
- Si hay transferencias internacionales de datos y de ser así, a qué países se hacen.
- Los plazos de supresión de datos personales.
- Un resumen de las medidas técnicas y organizativas adoptadas.
Se exceptúan de este registro a las empresas que tienen menos de 250 trabajadores salvo que el tratamiento de los datos implique riesgos para los derechos y libertades de las personas.
Responsable de tratamiento:
Se considera así a la persona física o jurídica que defina los fines, medios y alcance del tratamiento de datos personales. Por tanto, será quien garantizará en primer lugar la adecuación del mismo a la normativa vigente.
Tercero:
Es la persona natural o jurídica que no tiene el papel del responsable, encargado, interesado, ni otro que se encargue del tratamiento.
Transferencia Internacional de Datos:
Es la comunicación de los datos personales de interesados europeos a un país fuera del ámbito del Espacio Económico Europeo para que su tratamiento se realice en dicho lugar. Dicha transferencia debe realizarse enmarcada en las previsiones dispuestas por el RGPD, como las Cláusulas Contractuales Tipo o en países con una decisión de adecuación aprobada por la UE.
Tratamiento a gran escala:
Se denomina así al tratamiento que por sus características, tiene un amplio alcance. Algunos criterios para determinar si un tratamiento se puede considerar así, son:
- Si el número de interesados es una cifra grande o corresponde a un porcentaje grande de la población.
- El volumen o la variedad de datos tratados.
- La duración del tratamiento.
- La amplitud geográfica del tratamiento.
- En las siguiente situaciones: tratamientos de datos de salud en hospitales, de geolocalización en restaurantes, de transporte, de actividades bancarias, de publicidad comportamental por motor de búsqueda, de proveedores de telecomunicaciones.
Tratamiento de datos personales:
Son las operaciones automatizadas o de cualquier otra índole que se realizan teniendo como materia prima a los datos personales. Esto incluye la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión, habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción de los mismos.
Tratamiento transfronterizo:
Es un tipo de tratamiento que afecta a interesados de más de un estado miembro de la UE, o cuyo responsable o encargado estén establecidos en más de uno de estos países.
Servicio de la sociedad de la información
De acuerdo a la Directiva (UE) 2015/1535, es todo servicio que se brinda a cambio de una remuneración, a distancia, por vía electrónica y por petición de un destinatario de dicho servicio.
Seudonimización:
Es el proceso mediante el cual los datos personales son separados de un identificador, convirtiéndolos en no atribuibles a alguna persona física sin el mismo. Dicho identificador deberá estar sujeto a medidas de seguridad para evitar la identificación de la persona real detrás de los datos separados. Los datos seudonimizados sí se encuentran dentro de los límites de lo regido por el RGPD.
Violación o brecha de seguridad
Todo acto que origine la destrucción, pérdida o alteración accidental o ilícita de los datos personales tratados por una empresa. También se considera una brecha al acceso no autorizados a dichos datos. Estos incidentes pueden afectar a la confidencialidad, disponibilidad o integridad de los datos personales.