OposharkOposhark

Tema 12 — La protección de datos personales

Marco normativo: RGPD y LOPDGDD

La protección de datos personales en España se rige por dos normas principales. A nivel europeo, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, conocido como RGPD o GDPR por sus siglas en inglés, es directamente aplicable en todos los Estados miembros desde el 25 de mayo de 2018.

A nivel nacional, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) adapta el ordenamiento español al RGPD, especifica aspectos que el Reglamento europeo deja a la discreción de los Estados miembros, y añade el catálogo de derechos digitales del Título X, entre los que figuran el derecho al olvido en redes sociales, el derecho a la portabilidad y el derecho a la desconexión digital en el ámbito laboral.

El fundamento constitucional de la protección de datos en España es el artículo 18.4 de la Constitución, que establece que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. El Tribunal Constitucional ha reconocido que de este precepto deriva un derecho fundamental autónomo a la protección de datos.

Datos clave

  • RGPD: Reglamento (UE) 2016/679, aplicable desde el 25 de mayo de 2018
  • LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre
  • LOPDGDD Título X: derechos digitales (olvido, portabilidad, desconexión)
  • Art. 18.4 CE: fundamento constitucional de la protección de datos
  • RGPD: directamente aplicable, sin necesidad de transposición
  • El TC reconoce un derecho fundamental autónomo a la protección de datos

Principios aplicables al tratamiento de datos

El artículo 5 del RGPD establece los principios que deben regir todo tratamiento de datos personales. Son principios vinculantes para el responsable del tratamiento y su cumplimiento debe poder demostrarse (principio de responsabilidad proactiva o accountability). El incumplimiento de los principios es una de las infracciones más graves del Reglamento.

Los principios son: licitud, lealtad y transparencia (los datos se tratan de forma lícita, leal y transparente con el interesado); limitación de la finalidad (los datos se recopilan con fines determinados, explícitos y legítimos, y no se tratan ulteriormente de manera incompatible con dichos fines); minimización de datos (los datos deben ser adecuados, pertinentes y limitados a lo necesario); exactitud (los datos deben ser exactos y actualizados); limitación del plazo de conservación (no se conservarán más tiempo del necesario); integridad y confidencialidad (garantizando seguridad adecuada, incluida la protección contra tratamientos no autorizados, pérdida, destrucción o daño accidentales).

A estos seis principios se añade el de responsabilidad proactiva (accountability), que obliga al responsable del tratamiento a demostrar el cumplimiento de los principios y a adoptar medidas técnicas y organizativas apropiadas para garantizarlo. Esta nueva cultura de la privacidad proactiva supone un cambio de paradigma respecto a la normativa anterior.

Datos clave

  • Art. 5 RGPD: seis principios de tratamiento + accountability
  • Licitud, lealtad y transparencia: tratamiento lícito y claro para el interesado
  • Minimización: solo datos adecuados, pertinentes y necesarios
  • Limitación de plazo: no conservar más de lo necesario
  • Integridad y confidencialidad: seguridad adecuada
  • Accountability: el responsable debe demostrar el cumplimiento

Bases de licitud del tratamiento

Para que un tratamiento de datos personales sea lícito, debe fundarse en alguna de las seis bases de licitud que establece el artículo 6 del RGPD. Sin una base jurídica válida, el tratamiento es ilícito e implica responsabilidad para el responsable del tratamiento. Las seis bases son: consentimiento del interesado; ejecución de un contrato en el que el interesado es parte o para la aplicación de medidas precontractuales; cumplimiento de una obligación legal aplicable al responsable; protección de intereses vitales del interesado o de otra persona; cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos; interés legítimo del responsable o de un tercero, siempre que no prevalezcan los intereses o derechos fundamentales del interesado.

El consentimiento tiene requisitos específicos: debe ser libre, específico, informado e inequívoco, manifestado mediante una acción afirmativa clara. No se admite el consentimiento tácito ni obtenido mediante casillas premarcadas. El consentimiento puede retirarse en cualquier momento, sin que ello afecte a la licitud del tratamiento anterior a la retirada.

Las categorías especiales de datos (datos de salud, datos genéticos, datos biométricos con fines de identificación, datos sobre origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, vida u orientación sexual) tienen un régimen especial más restrictivo: su tratamiento está prohibido con carácter general y solo se permite en los supuestos del artículo 9.2 del RGPD, que incluyen el consentimiento explícito, fines de medicina preventiva o interés público esencial.

Datos clave

  • Art. 6 RGPD: seis bases de licitud
  • Consentimiento: libre, específico, informado e inequívoco; acción afirmativa
  • Sin casillas premarcadas; retirable en cualquier momento
  • Art. 9 RGPD: categorías especiales de datos (salud, genéticos, biométricos, etc.)
  • Categorías especiales: prohibición general + excepciones tasadas
  • Consentimiento explícito requerido para categorías especiales

Derechos de los interesados: ARSOPL

El RGPD reconoce a los interesados un conjunto de derechos que se conocen por el acrónimo ARSOPL: Acceso, Rectificación, Supresión (derecho al olvido), Oposición, Portabilidad y Limitación del tratamiento. Estos derechos deben ejercerse directamente ante el responsable del tratamiento, que dispone de un mes para responder (prorrogable dos meses más en casos complejos o de elevado número de solicitudes).

El derecho de acceso permite al interesado obtener confirmación de si se están tratando datos que le conciernen y, en su caso, acceder a ellos y obtener información sobre la finalidad, las categorías de datos, los destinatarios, el plazo de conservación y los derechos que le asisten. El derecho de rectificación permite corregir datos inexactos o incompletos. El derecho de supresión (al olvido) permite solicitar la eliminación de los datos cuando ya no sean necesarios, se retire el consentimiento o el tratamiento sea ilícito, entre otras causas.

El derecho de limitación del tratamiento permite al interesado solicitar que sus datos no se traten activamente durante un período, por ejemplo mientras se verifica la exactitud de los datos impugnados. El derecho de portabilidad permite recibir los datos facilitados al responsable en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable. El derecho de oposición permite oponerse al tratamiento basado en interés legítimo o en interés público, salvo que el responsable acredite motivos imperiosos que prevalezcan.

Datos clave

  • ARSOPL: Acceso, Rectificación, Supresión, Oposición, Portabilidad, Limitación
  • Plazo de respuesta del responsable: 1 mes (prorrogable 2 meses más)
  • Derecho de supresión: opera cuando ya no son necesarios los datos, entre otras causas
  • Portabilidad: formato estructurado, de uso común y lectura mecánica
  • Oposición: procede contra tratamientos basados en interés legítimo o interés público
  • Limitación: suspende el tratamiento activo durante la controversia

El Delegado de Protección de Datos (DPD)

El Delegado de Protección de Datos (DPD), o Data Protection Officer (DPO) en inglés, es una figura creada por el RGPD (arts. 37 a 39) para supervisar el cumplimiento de la normativa de protección de datos dentro de las organizaciones. Su designación es obligatoria para las autoridades y organismos públicos (con algunas excepciones), para las entidades cuya actividad principal consista en el tratamiento a gran escala de categorías especiales de datos, y para aquellas que realicen a gran escala una observación habitual y sistemática de interesados.

El DPD puede ser un empleado del responsable o del encargado del tratamiento, o puede ejercer sus funciones en virtud de un contrato de servicios externo. Debe tener conocimientos especializados del Derecho y la práctica en materia de protección de datos. El responsable del tratamiento debe facilitar al DPD los recursos necesarios, el acceso a los datos y a las operaciones de tratamiento, y garantizar que no recibe instrucciones en cuanto al ejercicio de sus funciones, ni puede ser sancionado o destituido por ejercerlas.

Sus funciones principales son: informar y asesorar al responsable y a los empleados; supervisar el cumplimiento del RGPD y de las políticas internas; proporcionar asesoramiento respecto de la evaluación de impacto relativa a la protección de datos (EIPD); cooperar con la autoridad de control (la AEPD en España); y actuar como punto de contacto de la autoridad de control.

Datos clave

  • Arts. 37 a 39 RGPD: régimen del DPD
  • Designación obligatoria: organismos públicos, tratamientos masivos de categorías especiales, observación sistemática a gran escala
  • Puede ser interno o externo (por contrato)
  • Garantías de independencia: no recibe instrucciones; no puede ser destituido por sus funciones
  • Función clave: supervisar cumplimiento del RGPD y asesorar en EIPD
  • Punto de contacto con la autoridad de control (AEPD)

La Agencia Española de Protección de Datos (AEPD)

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control nacional competente en materia de protección de datos personales en España. Es una autoridad pública independiente, con personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones, lo que es exigencia del propio RGPD para garantizar la efectividad del control.

La AEPD tiene sus antecedentes en la Agencia de Protección de Datos creada por la Ley Orgánica 5/1992, LORTAD. Sus funciones principales incluyen: supervisar la aplicación del RGPD y de la LOPDGDD; tramitar y resolver las reclamaciones presentadas por los interesados cuyos derechos han sido vulnerados; investigar posibles infracciones; imponer sanciones; dictar resoluciones e instrucciones; y asesorar a los organismos públicos y privados.

El régimen sancionador del RGPD es uno de los más severos en el ordenamiento europeo. Las infracciones se clasifican en dos grandes categorías: las menos graves pueden ser sancionadas con multas de hasta 10 millones de euros o el 2% del volumen de negocio global anual; las más graves (incluidas las violaciones de principios básicos, bases de licitud y derechos de los interesados) pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio global anual, optando por la cuantía que sea mayor.

Datos clave

  • AEPD: autoridad de control española, independiente
  • Antecedente: Agencia de Protección de Datos creada por LORTAD (Ley Orgánica 5/1992)
  • Funciones: supervisión, resolución de reclamaciones, investigación, sanciones
  • Sanciones leves/moderadas: hasta 10 M EUR o 2% del volumen global
  • Sanciones graves: hasta 20 M EUR o 4% del volumen global (la mayor de ambas)
  • La AEPD coopera con otras autoridades nacionales de la UE

Evaluación de impacto y brechas de seguridad

La evaluación de impacto relativa a la protección de datos (EIPD o DPIA por sus siglas en inglés) es un instrumento del RGPD (art. 35) que el responsable del tratamiento debe realizar antes de iniciar operaciones de tratamiento que puedan suponer un alto riesgo para los derechos y libertades de las personas físicas. Es obligatoria en tres supuestos mínimos: evaluación sistemática y exhaustiva de aspectos personales (incluida la elaboración de perfiles); tratamiento a gran escala de categorías especiales o de datos relativos a condenas penales; y observación sistemática a gran escala de una zona de acceso público.

La EIPD debe contener al menos: una descripción sistemática del tratamiento y sus fines; una evaluación de la necesidad y proporcionalidad; una evaluación de los riesgos para los derechos y libertades de los interesados; y las medidas previstas para afrontarlos. Si el riesgo residual es elevado y no puede mitigarse, el responsable debe consultar previamente a la autoridad de control (consulta previa).

Las brechas de seguridad (violaciones de la seguridad de los datos personales) tienen un régimen específico en los artículos 33 y 34 del RGPD. El responsable del tratamiento debe notificar a la AEPD toda brecha que pueda suponer un riesgo para los derechos y libertades de los interesados en un plazo máximo de 72 horas desde que tenga constancia de ella. Si la brecha puede suponer un alto riesgo, debe comunicarse también a los propios interesados afectados sin dilación indebida.

Datos clave

  • Art. 35 RGPD: EIPD (DPIA) obligatoria en tratamientos de alto riesgo
  • Supuestos mínimos obligatorios: perfilado, categorías especiales a gran escala, videovigilancia de zonas públicas
  • Consulta previa a la AEPD si el riesgo residual es alto
  • Arts. 33 y 34 RGPD: brechas de seguridad
  • Notificación a la AEPD: máximo 72 horas desde conocimiento de la brecha
  • Comunicación a interesados: si el riesgo es alto, sin dilación indebida