Desde el pasado 25 de mayo de 2018 es aplicable el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, también conocido por sus siglas RGPD o bien GDPR, y por el que se deroga la Directiva 95/46/CE.
Posteriormente, en España el 5 de diciembre de 2018 se publicó la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD); la entrada en vigor se produjo al día de su publicación y el objeto de esta ley es, por un lado, adaptar el ordenamiento jurídico español al RGPD y completar determinadas disposiciones del mismo, y además garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.
¿Por qué es importante la protección de datos de carácter personal?
Recordemos que nuestra Carta Magna, de forma novedosa, reconoció y detectó la necesidad de que debía limitarse el avance de la técnica, en tanto en cuanto dicho avance pudiera suponer una injerencia en el derecho fundamental a la intimidad, y el resultado fue el artículo 18 apartado 4 en el que se establece que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
Por otro lado, no debemos olvidar, y en relación con lo anteriormente expuesto, que la protección de los datos personales de las personas físicas es un derecho fundamental, reconocido en la Carta de los Derechos Fundamentales de la Unión Europea y en el Tratado de Funcionamiento de la Unión Europea.
¿Qué entiende el RGPD por dato de carácter personal?
En sus primeros artículos el RPGD define como dato personal, como toda aquella información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Es decir, estamos ante una definición muy amplia, en tanto en cuanto se establece que la persona puede ser identificada tanto directa como indirectamente, y porque el propio concepto nos habla de que será dato, toda aquella información sobre una persona física.
Esta amplitud debe hacer que, como organización, cuando tratemos información seamos especialmente cuidadosos y escrupulosos en relación a las medidas técnicas y organizativas en el tratamiento de la misma, además de prestar especial cuidado a lo indicado en el cumplimiento de los principios recogidos en la normativa.
¿Cuáles son los aspectos relacionados con los datos de carácter personal a los que debemos prestar especial atención?
Si bien no es fácil, resumir en unas pocas líneas lo que la legislación recoge en centenares de folios, y la Agencia Española de Protección de Datos (https://www.aepd.es) matiza en sus informes y resoluciones, podemos indicar que los aspectos principales nos los marcan los principios recogidos en el RGPD.
En relación a los mismos, se establece que los datos de carácter personal serán tratados de manera lícita, leal y transparente, y serán recogidos con fines determinados, explícitos y legítimos.
Además, en relación a la minimización de datos se establece que los datos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Los datos deberán ser exactos y deberán ser actualizados; el propio RGPD establece que en relación a los datos existirá una limitación en el tiempo de conservación de los mismos.
Y por último aunque no menos importante, los datos deberán ser tratados de tal manera que se garantice una seguridad adecuada. Esta seguridad adecuada supone incluso una protección contra tratamientos no autorizados o ilícitos, además de protección contra su pérdida, destrucción o daño accidental; la manera de llevarlo a cabo será mediante la implantación en las organizaciones de procedimientos que recojan medidas técnicas u organizativas.
Toda organización deberá valorar, determinar y ser capaz de demostrar que aplica esas medidas técnicas y organizativas (responsabilidad proactiva); medidas que deberán adecuarse a cada caso en concreto, y que al respecto nos conviene ser precavidos, porque con la aplicación de las mismas, estamos cumpliendo una obligación legal (y evitaremos infracciones y sanciones), protegeremos un derecho fundamental de los titulares de los datos de carácter personal, y además, protegeremos un activo fundamental de nuestra organización (empresa o administración pública) como es la información (entendida en relación a información referida a personas físicas).
¿Qué derechos tengo por ser titular de datos de carácter personal?
Para finalizar este pequeño artículo en relación a la normativa de protección de datos, no debemos olvidar hacer una referencia a los derechos que se reconocen a toda persona física por el mero hecho de ser titular de datos, y que aumentan respecto a los derechos que la anterior LOPD reconocía y que eran reconocidos por el acrónimo ARCO. A continuación nos acercaremos de una manera somera a los mismos.
El interesado o titular de los datos tiene derecho a acceder a sus datos, es decir, derecho a obtener de la entidad que trata los datos la confirmación de si se están tratando sus datos y a saber, entre otras, la finalidad del tratamiento, la categoría de datos tratados, los destinatarios de la información, el plazo previsto de conservación, la posibilidad de ejercitar los derechos y el derecho a conocer que puede presentar una reclamación ante la autoridad de control pertinente.
Además, la normativa recoge el derecho de rectificación, y establece que el interesado, sin dilación indebida, obtendrá de la organización que trata la información, la rectificación de los datos personales que le conciernan.
También se reconoce el derecho de supresión de los datos o derecho al olvido, entendido como el derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan siempre que se den una serie de circunstancias. Cabe decir que el ejercicio de este derecho no es ilimitado, y deberá tenerse en cuenta el derecho a la libertad de expresión e información, así como razones de interés público en el ámbito de la salud, entre otras excepciones.
El titular de los datos tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos, y ello en el caso de que se den una serie de condiciones.
Uno de las novedades en relación a los derechos que recoge la normativa es el derecho de portabilidad de los datos; que se reconoce como el derecho del interesado a recibir los datos personales que le incumban de la siguiente forma:
– En un formato estructurado
– De uso común.
– Y de lectura mecánica
Además de disponer del derecho a transmitirlos a otro responsable del tratamiento.
El derecho de oposición, ya reconocido por la anterior normativa, se sigue manteniendo; siendo la posibilidad de que el interesado pueda oponerse en cualquier momento a tratamientos de datos que le conciernen.
Y para finalizar, el apartado de derechos, se reconoce el derecho de toda persona a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
La LOPDGDD reconoce además respecto de las personas fallecidas, que las personas vinculadas al mismo por razones familiares o de hecho así como sus herederos, puedan dirigirse al responsable del tratamiento, o incluso al encargado del tratamiento, y ejercer el derecho de acceso a los datos de carácter personal de la persona fallecida, y en su caso, ejercitar además el derecho de rectificación o el derecho de supresión de los datos.
Artículo escrito por ANDONI GARCIA IMAZ – GUIPUZCOA