Conceptos básicos

Política de protección de datos: Documento que da a conocer el modo en que una empresa u organismo obtiene, trata, y con qué medidas protege los datos personales que sus empleados, clientes o usuarios le facilitan o recogen a través de su sitio web, formularios y/o cookies, etc, e informa de los medios para permitir ejercer sus derechos a los propietarios de los datos.

RGPD^w: Reglamento (UE) 2016/679^w que opcionalmente puede ser completado por leyes orgánicas en cada EM, pero en caso de conflicto prima el reglamento.

LOPD-GDD: Ley Orgánica 3/2018^w que es una transposición del RGPD^w.

AEPD: Organismo que supervisa la aplicación de la RGPD^w y LOPD-GDD, a excepción de los apartados sobre derechos en la Era digital.

Responsable de datos: Persona física o jurídica o autoridad pública con la tarea de decidir sobre el tratamiento de los datos personales de los interesados, para lo que debe determinar los fines y los medios de dicho tratamiento.

Encargado del tratamiento de datos: Persona física o jurídica o autoridad pública, que lleva a cabo un tratamiento de datos personales por encargo del responsable del tratamiento.

DPD: Persona con conocimientos técnicos especializados del Derecho y de la práctica de protección de datos, que asesora al responsable y al encargado del tratamiento, y supervisa el cumplimiento del RGPD^w en su organización. Carece de poderes ejecutivos y ostenta una posición independiente.
El RGPD^w obliga a cierto tipo de empresas a tener un DPD.

Reglamento General de Protección de Datos (RGPD^w)

Principios

El RGPD^w señala un conjunto de principios que los responsables y encargados del tratamiento deben observar:

1. Licitud, transparencia y lealtad. Solo se deben tratar datos con fines legítimos, hay que ser transparentes con respecto al tratamiento de datos personales e informar al interesado de manera abierta y transparente.
2. Limitación de la finalidad. Implica:
   • obligación de que los datos sean tratados con una finalidad determinada, explícita y legítima
   • prohibición de que los datos recogidos con unos fines sean tratados de una manera incompatible con esos fines
3. Minimización de datos. Los datos han de ser adecuados, pertinentes y limitados a lo necesario para lo que son tratados.
4. Exactitud. Se debe aportar medidas para la rectificación o supresión de los datos inexactos en relación a los fines que se persiguen.
5. Limitación del plazo de conservación. Una vez que las finalidades se han alcanzado, los datos deben ser borrados o desprovistos de todo elemento que permita identificar a los interesados.
6. Integridad y confidencialidad. Los responsables han de actuar proactivamente en la protección de los datos frente a cualquier riesgo que amenace su seguridad (ej: tratamiento/modificación no autorizado).
7. Responsabilidad proactiva. Los responsables deben aplicar las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento se lleva a cabo de conformidad con el Reglamento.

Otras puntos relevantes:

• La protección de datos gira en torno a los principios de calidad de los datos, licitud y consentimiento
• La calidad de los datos se entiende como que estos sean adecuados, pertinentes y no excesivos en relación las finalidades explicitas y legitimas para las que han sido obtenidos
• El consentimiento debe ser libre, especifico para una determinada operación, informado e inequívoco
• El tratamiento solo es lícito si se cumple al menos una de las siguientes condiciones:
  • el interesado dio su consentimiento
  • es necesario para la ejecución de un contrato en el que el interesado es parte
  • es necesario para el cumplimiento de una obligación legal del responsable
  • es necesario para proteger intereses vitales del interesado o de otra persona física
  • es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento
  • es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño

Categorías especiales de datos personales

Se definen como categorías especiales de datos personales los siguientes:

• Datos de origen étnico o racial
• Datos relacionados con opiniones políticas, convicciones religiosas/filosóficas/sindicales.
• Datos genéticos, biométricos, relativos a la salud o a la vida u orientación sexual

Están prohibidos los tratamientos que involucren este tipo de datos salvo:

• Que el interesado haya dado consentimiento explícito
• El tratamiento es necesario para:
  • cumplir obligaciones o ejercer derechos del interesado
  • proteger intereses vitales del interesado
  • un interés público esencial
• Que esos datos personales sean manifiestamente públicos

Derechos

1. Derecho de información. Solicitar a una empresa información sobre qué datos personales están siendo tratados y la justificación de dicho tratamiento.
2. Derecho de acceso. Ver o consultar sus propios datos personales, así como de solicitar copias de sus datos personales.
3. Derecho de rectificación. Solicitar modificaciones de sus datos personales con fin de corregirlos o actualizarlos.
4. Derecho de retirar el consentimiento. Implica la finalización del tratamiento de los datos personales basados en el consentimiento previo que ahora se revocar.
5. Derecho de oposición. Ej: oposición al tratamiento para creación de perfiles con fines de mercadotecnia.
6. Derecho de oposición al tratamiento automático. Ej: Utilizando este derecho, el solicitante de un préstamo puede pedir que su solicitud sea revisada manualmente, porque crea que en el tratamiento automático de su préstamo no pueda considerarse la situación única del cliente.
7. Derecho de supresión / al olvido. Capacidad de eliminar sus datos. No es un derecho absoluto pues depende del programa de retención y el periodo de retención de acuerdo con otras leyes de aplicación.
8. Derecho a la portabilidad de datos. El interesado puede solicitar que sus datos personales sean devueltos o transferidos a otro responsable. Al hacerlo, los datos personales deben ser proporcionados o transferidos en un formato electrónico de lectura mecánica.

Los plazos para responder a una petición de acceso, rectificación, cancelación u oposición son de un mes, y la solicitud se ha de poder hacer de manera telemática.

Se permite la posibilidad de cargar una tasa frente a solicitudes de derechos de acceso reiterativas o excesivas.

Obligaciones

• Protección de datos desde el diseño y por defecto por parte del Responsable del tratamiento.
• Las responsabilidades de los corresponsables lo serán en función de su relación interna y en relación con el interesado, para lo que será aconsejable la firma de un contrato que lo determine.
• Los responsables no establecidos en la Unión Europea, cuando el Reglamento se aplique a sus actividades de tratamiento, deberán designar un representante en la Unión.
• Con objeto de determinar las medidas de seguridad a aplicar será necesario un análisis del riesgo para determinar las medidas de seguridad en base al ENS.
• Notificaciones de violaciones de seguridad en menos de 72h a la autoridad de control salvo que pueda demostrar la improbabilidad de riesgo para los derechos y libertades. Si se tarda más, ha de dar una indicación de los motivos de la dilación y facilitar la información por fases. También se ha de informar, en colaboración con la autoridad de control, al interesado.
• Establecimiento por parte de los responsables de los plazos de conservación de los datos, así como la destrucción una vez transcurrido dicho plazo

El responsable del tratamiento deberá realizar una EIPD cuando:

• Se utilicen nuevas tecnologías y su naturaleza, alcance, contexto o fines del tratamiento prevean un alto riesgo
• El tratamiento se base en una elaboración de perfiles
• Se traten datos de categorías especiales
• Tratamiento a gran escala basado en la observación sistemática de una zona de acceso público

Adicionalmente, en el caso de datos relacionados con la protección social y la salud pública se necesitará una autorización previa antes de realizar operaciones de tratamiento arriesgadas.

La EIPD debe contener:

• Descripción de las operaciones de tratamiento previstas y los fines del tratamiento.
• Medidas para afrontar los riesgos y mecanismos que garanticen la protección de los datos personales

En cuanto a las AAPP, el tratamiento de datos ha de responder a una tarea en interés público o ejercicio de poderes públicos y por tanto tal interés público y los poderes que justifican el tratamiento deben estar establecidos en una norma de rango legal.

Transferencias internacionales

Se considera una transferencia internacional de datos aquella que ocurre desde dentro del Espacio Económico Europeo al exterior de este. Es decir, entre EEMM no sería una transferencia internacional.

Para facilitar las transferencias internacionales dentro de los mismos grupos empresariales se usan las BCR, que consisten en una solución contractual que vincula jurídicamente a las partes de una transferencia internacional para ofrecer garantías suficientes cuando dicha transferencia es hacia un país sin un nivel adecuado.

En España se puede hacer transferencias internacionales sin autorización de la AEPD si se cumple con el RGPD^w.

Herramientas

ASSI-RGPD

Es una aplicación que permite al responsable de TDP:

• realizar el análisis de riesgos y la evaluación de impacto. Esto determinará el conjunto de medidas de seguridad del ENS a aplicar para securizar el TDP
• proporcionar la información necesaria de cada TDP que hay que incluir en el Registro de Actividades de Tratamiento exigido por el RGPD^w
• verificar el cumplimiento del resto de aspectos normativos del RGPD^w

Dicha aplicación consiste en el cumplimiento de cuestionarios a partir de los cuales se ofrece un informe y documentos que ayudan al cumplimiento del RGPD^w.

Facilita RGPD

Herramienta que mediante tres pantallas de preguntas permite valorar su situación con respecto al RGPD^w, a fin de determinar si debe realizar un análisis de riesgos.

La herramienta es orientativa y su resultado no implica necesariamente el cumplimiento automático del RGPD^w.

Delegado en protección de datos

Una entidad tiene la obligación de designar un DPD cuando:

• es una AP
• hace un tratamiento de datos a gran escala
• hace tratamiento de datos de categorías especiales o relativos a condenas e infracciones penales.

Dicho DPD sera designado por el responsable y encargado del tratamientos de datos, y debe ser comunicado a la AEPD. Su cese también ha de ser comunicado.

El DPD tiene como mínimo las siguientes funciones:

• Informar, asesorar y supervisar el cumplimiento del RGPD^w, de otras disposiciones de protección de datos de la Unión o de los EEMM (ej: LOPD-GDD) y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales.
• Supervisar la asignación de responsabilidades
• Supervisar la concienciación y formación del personal que participa en las operaciones de tratamiento
• Supervisar las auditorías correspondientes
• Asesorar acerca de la EIPD y supervisar que cumpla el RGPD^w
• Cooperar con la autoridad de control
• Actuar como punto de contacto de la autoridad de control

El DPD debe contar una cualificación profesional, que puede ser otorgada por un conjunto de empresas acreditadas por la ENAC para otorgar estas certificaciones en función de los criterios establecidos por la AEPD.

En las AAPP:

• varios organismos pueden compartir DPD si es compatible con la estructura organizativa y tamaño de dichos organismos (competencias y funciones de carácter horizontal)
• el nivel del puesto de trabajo debe ser el adecuado para poder relacionarse con la dirección del organismo en el que desempeñe sus funciones
• el DPD puede estar a tiempo completo o a tiempo parcial
• en entidades de menor tamaño podrá compaginar sus funciones con otras si no hay conflicto de intereses

Reclamaciones, denuncias y sanciones

• Los interesados podrán presentar su reclamación en la Autoridad de Control de cualquier EM (ventanilla única)
• Los organismos y asociaciones pueden denunciar en nombre del interesado (Legitimación activa)
• El régimen económico-sancionador contempla sanciones de hasta 20 millones de € o el 4% de volumen de negocio total anual, aquello que tenga mayor cuantía.
• Se permite el apercibimiento únicamente frente a personas físicas cuando realizan tratamientos sin fines comerciales y frente a empresas de menos de 250 trabajadores que traten datos como actividad auxiliar y no como principal

Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD)

Algunos aspectos relevantes:

• Se especifica el sistema de información por capas como medio de informar a las personas acerca del tratamiento de sus dato.
• Permite que los sistemas de denuncias internas recojan también denuncias anónimas
• Se modifica el sistemas de información crediticia para pasar de 6 a 5 años el plazo máximo de inclusión de deudas en las listas de morosos, y la cuantiá mínima de tales deudas debe ser de al menos 50€
• Sobre los menores se estipula que:
  • 14 años es la edad mínima para prestar consentimiento de manera autónoma
  • el derecho de supresión (o al olvido) puede ser ejercido tanto por el menor como por terceros durante su minoría de edad
  • los tutores de los menores deben garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y derechos fundamentales
  • el Ministerio Fiscal deberá instar las medidas cautelares y de protección previstas en la ley de protección jurídica del menor, cuando la utilización o difusión de imágenes o información personal de menores en las redes sociales y equivalentes puedan implicar una intromisión ilegítima en sus derechos fundamentales
  • cualesquiera que desarrolle actividades en las que participen menores de edad (ej: centros educativos) deberán contar con el consentimiento del menor o sus representantes legales para la publicación o difusión de sus datos personales a través de redes sociales o servicios equivalentes
• Pretende garantizar los derechos digitales de la ciudadanía

Garantía de derechos digitales

Derecho a la neutralidad de Internet: derecho a que los proveedores de servicios de Internet proporcionen una oferta transparente de servicios sin discriminación por motivos técnicos o económicos.

Derecho al acceso universal a Internet: acceso universal, asequible, de calidad y no discriminatorio para toda la población (personas con necesidades especiales, brechas de género y generacional, entornos rurales, etc)

Derecho a la seguridad digital: seguridad de las comunicaciones que se transmitan y reciban a través de Internet.

Derecho a la educación digital: El sistema educativo debe asegurar la plena inserción del alumnado en la sociedad digital, respetando y garantizando la intimidad personal y familiar.

Derecho de rectificación en Internet: Las noticias (o similares) rectificadas deben incluir un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo.

Derecho a las intimidad y uso de dispositivos digitales en el ámbito laboral: Los empleadores deberán establecer e informar de los criterios de utilización de los dispositivos digitales proporcionados por la empresa, incluyendo los usos autorizados y la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados, así como de las posibilidades de acceso por el empleador al contenido de esos dispositivos digitales.

Derecho a la desconexión digital en el ámbito laboral: el descanso y la intimidad fuera del trabajo deben ser garantizadas e incluidas en una política interna.

Derecho a la intimidad frente al uso de dispositivos de videovigilancia, de grabación de sonidos y geolocalización:

• Solo se admiten grabación de imágenes y geolocalización para el control de los trabajadores previa información expresa a los trabajadores y sus representantes.
• Los dispositivos de grabación nunca podrán estar instalados en lugares destinados al descanso o esparcimiento como vestuarios, aseos o comedores
• Solo se admite grabación de sonidos en caso de riesgos relevantes para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo.

Derechos digitales en la negociación colectiva: Los convenios colectivos pueden establecer garantías adicionales al mínimo establecido por la ley.

Derecho al olvido en búsquedas de Internet: Este derecho no se puede ejercer frente a un medio de comunicación o utilizando criterios de búsqueda distintos del nombre de quien ejerciera el derecho.

Derecho al olvido en servicios de redes sociales y servicios equivalentes: En el caso de que los datos hubiesen sido facilitados al servicio durante su minoría de edad, el prestador deberá proceder sin dilación a su supresión.

Derecho de portabilidad en servicios de redes sociales y servicios equivalentes.

Derecho al testamento digital: Inclusión en el testamento tradicional de indicaciones sobre que hacer con los datos digitales en Internet del fallecido. Adicionalmente, si el fallecido no dejo prohibición expresa, los herederos y/o familiares podrán acceder a dichos contenidos e impartir instrucciones sobre su utilización, destino o supresión.

Políticas de impulso de los derechos digitales. El gobierno, en colaboración con las comunidades autónomas, deberá elaborar dos documentos:

• Plan de acceso a Internet: superar brechas digitales, garantizar acceso a Internet, etc
• Plan de actuación: acciones de formación, difusión y concienciación dirigidas a menores

El gobierno deberá presentar un informe anual ante el congreso de los diputados sobre la evolución de los derechos y las medidas necesarias para su impulso.

Implicaciones en el Procedimiento Administrativo Común

Salvo oposición del interesado, las AAPP deben recabar los documentos que necesiten mediante la plataforma de intermediación ya que es un derecho del interesado no aportar documentación que ya se encuentra en posesión de alguna AP.

Igualmente, las AAPP tienen la potestad de verificar, usando los datos de cualquier AP, los datos personales aportados por el interesado.

Cuando una AP tenga que realizar una notificación:

• por medio de publicaciones, se identificara a las personas mediante su nombre, apellidos y cuatro cifras numéricas aleatorias del DNI, NIE, pasaporte o equivalente.
• por medio de anuncios, se identificará al agectado exclusivamente con su número del DNI, NIE, pasaporte o equivalente.
• cuando no tenga ningún documento de identidad se usará únicamente el nombre y apellidos

Bibliografía

• PreparaTic27 - Pack1/027
• ayudaleyprotecciondatos.es - El responsable del tratamiento de datos en el RGPD
• aepd.es - Ejerce tus derechos
• advisera.com - Comprender los 6 principios clave del RGPD
• advisera.com - Derechos del sujeto de los datos según el RGPD
• guiasjuridicas.wolterskluwer.es - Normas corporativas vinculantes