OposharkOposhark

Tema 26 — La protección de datos personales

El RGPD: estructura, ámbito y principios generales

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, conocido como RGPD o GDPR, constituye la norma fundamental en materia de protección de datos en la Unión Europea. Es directamente aplicable en todos los estados miembros desde el 25 de mayo de 2018, sin necesidad de transposición, lo que garantiza una protección uniforme en todo el espacio europeo.

El RGPD se aplica al tratamiento de datos personales por medios total o parcialmente automatizados y, cuando no lo sean, siempre que los datos estén destinados a un fichero. Se aplica a los responsables y encargados del tratamiento establecidos en la UE, así como a los que, sin estar en la UE, traten datos de residentes europeos al ofrecerles bienes o servicios o al monitorizar su comportamiento. El concepto de dato personal es amplio: cualquier información sobre una persona física identificada o identificable.

Su estructura consta de 99 artículos y 173 considerandos. El Capítulo II recoge los principios relativos al tratamiento (art. 5), el Capítulo III los derechos de los interesados, el Capítulo IV las obligaciones de responsables y encargados, y los Capítulos VI y VII regulan las autoridades de control y la cooperación.

Datos clave

  • Reglamento (UE) 2016/679: aprobado el 27 de abril de 2016, aplicable desde el 25 de mayo de 2018
  • Aplicación directa en toda la UE sin transposición
  • 99 artículos y 173 considerandos
  • Ámbito: tratamiento automatizado y no automatizado destinado a ficheros
  • Responsable: determina los fines y medios del tratamiento
  • Encargado: trata datos por cuenta del responsable

Principios relativos al tratamiento de datos (art. 5 RGPD)

El artículo 5 del RGPD enuncia los principios que deben presidir cualquier tratamiento de datos personales. Estos principios no son meramente orientativos, sino que tienen plena eficacia jurídica y su incumplimiento puede dar lugar a sanciones. Además, el principio de responsabilidad proactiva exige que el responsable del tratamiento sea capaz de demostrar el cumplimiento de todos ellos.

Los principios recogidos en el artículo 5 son: licitud, lealtad y transparencia (el tratamiento debe tener una base jurídica y el interesado debe ser informado); limitación de la finalidad (los datos se recogerán con fines determinados, explícitos y legítimos y no se tratarán de manera incompatible con esos fines); minimización de datos (solo se tratarán los datos adecuados, pertinentes y limitados a lo necesario); exactitud (los datos deben ser exactos y actualizados); limitación del plazo de conservación (no se conservarán más tiempo del necesario para los fines del tratamiento); integridad y confidencialidad (se garantizará la seguridad adecuada mediante medidas técnicas y organizativas); y responsabilidad proactiva o accountability (el responsable podrá demostrar el cumplimiento de todos los principios anteriores).

La minimización de datos y la limitación de finalidad son especialmente relevantes en el contexto de la actuación policial, donde la recogida masiva de información debe estar justificada por una finalidad específica y proporcional.

Datos clave

  • Art. 5 RGPD: siete principios del tratamiento de datos
  • Licitud, lealtad y transparencia: base jurídica e información al interesado
  • Minimización de datos: solo datos adecuados, pertinentes y necesarios
  • Limitación de finalidad: fines determinados, explícitos y legítimos
  • Limitación del plazo de conservación: no más tiempo del necesario
  • Accountability: el responsable debe poder demostrar el cumplimiento

Bases de licitud del tratamiento

Para que un tratamiento de datos personales sea lícito, debe ampararse en alguna de las seis bases de licitud que el artículo 6 del RGPD establece con carácter tasado. En ausencia de alguna de estas bases, el tratamiento será ilícito y estará prohibido. Estas bases son alternativas, de modo que basta con que concurra una de ellas para que el tratamiento sea legítimo.

Las seis bases son: consentimiento del interesado para uno o varios fines específicos; ejecución de un contrato en el que el interesado es parte o aplicación de medidas precontractuales; cumplimiento de una obligación legal aplicable al responsable; protección de intereses vitales del interesado o de otra persona física; cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable; e intereses legítimos perseguidos por el responsable o por un tercero, siempre que no prevalezcan los intereses o derechos fundamentales del interesado.

En el ámbito de las Fuerzas y Cuerpos de Seguridad, la base de licitud habitualmente invocada es el cumplimiento de una misión en interés público o el ejercicio de poderes públicos, lo que exige que la actuación esté respaldada por una habilitación legal expresa. El consentimiento, en cambio, es la base más débil y menos adecuada para el tratamiento policial de datos, dada la asimetría de poder entre el Estado y el ciudadano.

Datos clave

  • Art. 6 RGPD: seis bases de licitud, tasadas y alternativas
  • Consentimiento: libre, específico, informado e inequívoco
  • Obligación legal: exime de recabar consentimiento
  • Interés público o poderes públicos: base habitual en el ámbito policial
  • Intereses legítimos: no aplicable a autoridades públicas en el ejercicio de sus funciones
  • Ausencia de base de licitud: tratamiento ilícito

Derechos de los interesados

El RGPD reconoce un amplio catálogo de derechos a los interesados —personas físicas cuyos datos son objeto de tratamiento— que deben ejercerse directamente ante el responsable del tratamiento. El responsable está obligado a responder a las solicitudes de ejercicio de derechos, en principio en el plazo de un mes, prorrogable por dos meses más en casos complejos o de gran volumen.

Los derechos reconocidos son: derecho de acceso (art. 15), que permite al interesado obtener confirmación de si se están tratando sus datos y recibir una copia de los mismos; derecho de rectificación (art. 16), para corregir datos inexactos o completar los incompletos; derecho de supresión o "derecho al olvido" (art. 17), para obtener la eliminación de los datos cuando ya no sean necesarios o se hayan tratado ilícitamente; derecho a la limitación del tratamiento (art. 18), que permite restringir el tratamiento en determinados supuestos; derecho a la portabilidad (art. 20), para recibir los datos en formato estructurado y transmitirlos a otro responsable; y derecho de oposición (art. 21), para oponerse al tratamiento basado en interés legítimo o interés público.

Estos derechos no son absolutos y admiten excepciones, entre ellas las relativas a la seguridad pública, la investigación criminal y la defensa nacional, que pueden justificar limitaciones por ley.

Datos clave

  • Art. 15 RGPD: derecho de acceso
  • Art. 16 RGPD: derecho de rectificación
  • Art. 17 RGPD: derecho de supresión ("derecho al olvido")
  • Art. 18 RGPD: limitación del tratamiento
  • Art. 20 RGPD: portabilidad de datos
  • Art. 21 RGPD: derecho de oposición
  • Plazo de respuesta: 1 mes, prorrogable 2 meses más

La LOPDGDD (LO 3/2018): adaptación española del RGPD

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) es la norma española que adapta el RGPD al ordenamiento jurídico nacional y regula determinadas materias que el Reglamento deja a la potestad de los estados miembros. Al tener naturaleza de Ley Orgánica, incorpora también el reconocimiento y garantía de los denominados derechos digitales, recogidos en su Título X.

En cuanto al contenido de adaptación, la LOPDGDD concreta el régimen del consentimiento de los menores de edad (establece en 14 años la edad mínima para consentir por sí solos, a diferencia de los 16 que permite el RGPD como máximo), regula los tratamientos con fines de videovigilancia, los relativos a sistemas de información crediticia (ficheros de solvencia) y los datos de personas fallecidas, entre otros. También regula el régimen sancionador completando el RGPD con normas procedimentales adaptadas al derecho administrativo español.

El Título X de la LOPDGDD reconoce un catálogo de derechos digitales: derecho a la neutralidad de internet, derecho al olvido en redes sociales y en búsquedas de internet, derecho a la portabilidad, derecho a la seguridad digital, derecho a la desconexión digital en el ámbito laboral, derechos de los menores en internet y derecho a la educación digital, entre otros.

Datos clave

  • LO 3/2018: LOPDGDD, de 5 de diciembre
  • Adapta el RGPD al derecho español y completa materias no armonizadas
  • Edad mínima de consentimiento: 14 anos en Espana (RGPD permite hasta 16)
  • Titulo X: derechos digitales (desconexion digital, olvido en redes, etc.)
  • Regula videovigilancia, ficheros de solvencia y datos de fallecidos
  • Régimen sancionador: complementa procedimentalmente el RGPD

El Delegado de Protección de Datos (DPD)

El Delegado de Protección de Datos (DPD) es una figura creada por el RGPD (arts. 37 a 39) cuya designación es obligatoria en determinados supuestos y voluntaria en los demás. Su función principal es actuar como punto de contacto entre el responsable o encargado del tratamiento, los interesados y la autoridad de control, velando por el cumplimiento interno de la normativa de protección de datos.

La designación de DPD es obligatoria en tres casos: cuando el tratamiento lo lleve a cabo una autoridad u organismo público, con excepción de los tribunales en el ejercicio de su función jurisdiccional; cuando las actividades principales del responsable o el encargado consistan en operaciones de tratamiento que, por su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala; y cuando las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos (datos sensibles) o de datos relativos a condenas e infracciones penales.

El DPD puede ser un empleado del responsable o encargado, o desempeñar sus funciones en virtud de un contrato de servicios. Debe tener conocimientos especializados del derecho y la práctica en materia de protección de datos, actuar con independencia funcional, no recibir instrucciones sobre el ejercicio de sus funciones y no ser cesado ni sancionado por el ejercicio de las mismas. Sus funciones incluyen informar y asesorar, supervisar el cumplimiento, cooperar con la autoridad de control y actuar como punto de contacto.

Datos clave

  • Arts. 37-39 RGPD: regulación del DPD
  • Obligatorio en: autoridades u organismos públicos, tratamientos sistemáticos a gran escala, datos sensibles a gran escala
  • Puede ser interno o externo (contrato de servicios)
  • Independencia funcional: no recibe instrucciones sobre sus funciones
  • Garantía frente al cese: no puede ser sancionado por ejercer sus funciones
  • Punto de contacto: con interesados y con la autoridad de control

La Agencia Española de Protección de Datos (AEPD)

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control independiente encargada de velar por el cumplimiento de la normativa de protección de datos en España. Fue creada por la primera Ley Orgánica de Protección de Datos de 1992 y su régimen actual se encuentra en la LOPDGDD (LO 3/2018), que la configura como ente de derecho público con personalidad jurídica propia, plena capacidad pública y privada, e independencia de los poderes públicos en el ejercicio de sus funciones.

Entre las funciones y potestades de la AEPD destacan: supervisar la aplicación del RGPD y la LOPDGDD; investigar las reclamaciones e infracciones; emitir dictámenes y recomendaciones; promover la concienciación y la formación en materia de protección de datos; aprobar códigos de conducta y certificaciones; y ejercer la potestad sancionadora, imponiendo multas administrativas de hasta 20 millones de euros o el 4% del volumen de negocio global anual para las infracciones más graves.

La AEPD coopera con las autoridades de control de otros estados miembros de la UE en el marco del mecanismo de ventanilla única para los tratamientos transfronterizos. En España existen además autoridades autonómicas de protección de datos en Cataluña (APDCAT), el País Vasco (AVPD) y Andalucía (CTBG con competencias en datos), que tienen competencias respecto de los ficheros de las Administraciones autonómicas y locales de sus territorios.

Datos clave

  • AEPD: autoridad de control independiente, ente de derecho público
  • Creada por LOPD 1992, régimen actual en LO 3/2018
  • Potestad sancionadora: multas de hasta 20 millones de euros o el 4% del volumen de negocio global
  • Cooperación en UE: mecanismo de ventanilla única para tratamientos transfronterizos
  • Autoridades autonómicas: APDCAT (Cataluna), AVPD (Pais Vasco)
  • Funciones: supervisar, investigar, sancionar, emitir dictamenes, certificar

Tratamiento de datos por las Fuerzas y Cuerpos de Seguridad: LO 7/2021

La Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, transpone la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, que es el instrumento específico de la UE para el tratamiento de datos en el ámbito de la cooperación policial y judicial en materia penal. Esta norma es el marco especial aplicable a las Fuerzas y Cuerpos de Seguridad cuando tratan datos con fines represivos o preventivos.

La LO 7/2021 establece principios equivalentes a los del RGPD pero adaptados a la actividad policial: los datos deben tratarse con fines determinados, explícitos y legítimos; deben ser adecuados, pertinentes y no excesivos; exactos y actualizados; y conservados solo durante el tiempo necesario. Introduce además la distinción entre distintas categorías de interesados: personas condenadas, sospechosas, víctimas, testigos y otras personas, debiendo el nivel de protección adaptarse a cada categoría.

El tratamiento de categorías especiales de datos —datos biométricos, genéticos, de salud, raciales o étnicos, de opinión política o religiosa— requiere habilitación legal expresa y solo es admisible cuando resulte estrictamente necesario. La norma también regula la transmisión de datos entre autoridades competentes, incluyendo la transmisión a terceros países y organismos internacionales.

Datos clave

  • LO 7/2021, de 26 de mayo: transpone la Directiva (UE) 2016/680
  • Ambito: prevencion, deteccion, investigacion y enjuiciamiento de infracciones penales
  • Categorias de interesados: condenados, sospechosos, victimas, testigos y otros
  • Datos sensibles en ambito policial: requieren habilitacion legal expresa
  • Principios: identicos a los del RGPD pero adaptados a la funcion policial
  • Transmision a terceros paises: regulada con garantias especificas

Régimen sancionador y responsabilidad en protección de datos

El RGPD establece un régimen sancionador de naturaleza administrativa con multas de cuantía significativamente elevada, articuladas en dos tramos según la gravedad de la infracción. Las infracciones menos graves —incumplimiento de obligaciones del responsable o encargado, de normas sobre certificación, de códigos de conducta aprobados o de normas sobre organismos de supervisión— se sancionan con multas de hasta 10 millones de euros o, en el caso de una empresa, el 2% del volumen de negocio total anual, eligiéndose la de mayor cuantía.

Las infracciones más graves —vulneración de los principios básicos del tratamiento (incluido el consentimiento), violación de los derechos de los interesados, transferencias internacionales sin garantías adecuadas— se sancionan con multas de hasta 20 millones de euros o el 4% del volumen de negocio anual total mundial del ejercicio financiero anterior, optándose siempre por la de mayor importe. En España, la LOPDGDD clasifica las infracciones en leves, graves y muy graves a efectos del procedimiento sancionador ante la AEPD.

Las personas físicas y jurídicas tienen también derecho a reclamar una indemnización por daños y perjuicios sufridos como consecuencia de un tratamiento infractor. El responsable y el encargado son responsables solidarios de los daños causados a los interesados, aunque pueden exonerarse probando que no les es imputable el hecho causante del daño.

Datos clave

  • Tramo 1 (infracciones menos graves): hasta 10 millones de euros o 2% del volumen de negocio
  • Tramo 2 (infracciones graves): hasta 20 millones de euros o 4% del volumen de negocio
  • LOPDGDD: clasifica infracciones en leves, graves y muy graves para el procedimiento ante AEPD
  • Responsabilidad civil: indemnizacion por danos sufridos por tratamiento infractor
  • Responsabilidad solidaria: responsable y encargado responden conjuntamente
  • Exoneracion: posible si se prueba que el dano no les es imputable