Tema 24

Questions and Answers

¿Qué implicaciones tiene para el responsable del tratamiento que una comunicación dirigida a un interesado sea devuelta por cualquier causa?

El responsable del tratamiento no podrá proceder al tratamiento de los datos referidos a ese interesado si la comunicación es devuelta por cualquier causa.

Describe dos métodos específicos que un responsable del tratamiento puede implementar para facilitar a los interesados la manifestación de su negativa al tratamiento de datos, conforme al reglamento.

El responsable puede usar un envío prefranqueado o una llamada a un número telefónico gratuito.

Si un interesado ha retirado su consentimiento para el tratamiento de sus datos, ¿cuál es el plazo máximo que tiene el responsable para cesar dicho tratamiento y qué obligaciones adicionales tiene?

El responsable debe cesar el tratamiento en un plazo máximo de diez días desde la recepción de la revocación y debe bloquear los datos conforme a la ley.

¿Qué tipos de métodos para que un interesado manifieste su negativa al tratamiento de datos se consideran NO conformes a la Ley Orgánica 15/1999?

El envío de cartas certificadas o envíos semejantes, la utilización de servicios de telecomunicaciones que implique una tarificación adicional al afectado o cualesquiera otros medios que impliquen un coste adicional al interesado.

En el contexto del consentimiento para el tratamiento de datos, ¿cuál es la restricción temporal impuesta al responsable del tratamiento para solicitar nuevamente el consentimiento al interesado para los mismos fines?

No será posible solicitarlo nuevamente respecto de los mismos tratamientos y para las mismas finalidades en el plazo de un año a contar de la fecha de la anterior solicitud.

Describe el requisito fundamental que debe cumplir el medio a través del cual un afectado revoca su consentimiento, según el reglamento.

El medio debe ser sencillo, gratuito y no implicar ingreso alguno para el responsable del fichero o tratamiento.

Cuando un interesado solicita la confirmación del cese en el tratamiento de sus datos, ¿está obligado el responsable del tratamiento a responder? Justifica tu respuesta.

Sí, el responsable del tratamiento debe responder expresamente a la solicitud para confirmar el cese en el tratamiento de sus datos.

Explica la diferencia entre 'cesar en el tratamiento de los datos' y 'bloquear los datos', según lo dispuesto en los artículos 16.3 de la Ley Orgánica 15/1999 y 17.2 del reglamento.

Cesar en el tratamiento significa detener cualquier actividad de procesamiento de los datos. Bloquear implica mantener los datos conservados, pero sin utilizarlos, para posibles responsabilidades legales.

¿Cómo influye el principio de calidad de los datos en la minimización de riesgos asociados al uso de algoritmos de inteligencia artificial en la toma de decisiones automatizadas?

El principio de calidad de los datos asegura que los datos utilizados por los algoritmos de IA sean adecuados, pertinentes y no excesivos, reduciendo así el riesgo de sesgos, errores y decisiones injustas. Datos precisos y actualizados mejoran la fiabilidad y validez de los resultados algorítmicos.

Describe una situación en la que el tratamiento de datos personales para fines históricos podría entrar en conflicto con el derecho a la privacidad de los individuos y cómo se podría resolver este conflicto.

La publicación de archivos históricos que revelan datos sensibles de individuos sin su consentimiento podría entrar en conflicto con su privacidad. Este conflicto se podría resolver anonimizando los datos o solicitando el consentimiento explícito de los interesados, equilibrando el valor histórico con el derecho a la privacidad.

Analiza las implicaciones del uso de datos personales obtenidos a través de medios fraudulentos para la creación de perfiles de consumidores y cómo esto contraviene los principios de protección de datos.

El uso de datos obtenidos fraudulentamente para perfilar consumidores contraviene los principios de licitud, transparencia y minimización de datos. Esto conlleva riesgos de decisiones sesgadas, discriminación y vulneración de derechos, además de posibles sanciones legales por incumplimiento normativo.

¿De qué manera la obligación de mantener los datos personales actualizados y exactos impacta en la implementación de sistemas de reconocimiento facial y cuáles son los desafíos asociados a este requisito?

La obligación de mantener los datos actualizados exige una continua verificación y corrección de los datos biométricos, lo cual es un desafío técnico y logístico en sistemas de reconocimiento facial. Requiere mecanismos para actualizar las identidades faciales, gestionando cambios físicos y garantizando la precisión para evitar identificaciones erróneas.

Evalúa la importancia del consentimiento explícito en el tratamiento de datos sensibles relacionados con la salud mental y cómo se diferencia este requisito del consentimiento tácito.

El consentimiento explícito es crucial para datos de salud mental debido a su carácter sensible. A diferencia del consentimiento tácito, que se infiere de acciones, el consentimiento explícito requiere una manifestación afirmativa e inequívoca de la voluntad del interesado, asegurando que comprenda los riesgos y beneficios del tratamiento de sus datos.

Describe un escenario donde la aplicación del principio de minimización de datos podría entrar en conflicto con la necesidad de recopilar datos exhaustivos para la investigación científica en el ámbito de la genética humana y propone una solución para equilibrar ambas exigencias.

En la investigación genética, la necesidad de datos exhaustivos (fenotipos, genotipos) podría chocar con la minimización de datos. Para equilibrar esto, se podría anonimizar los datos genéticos, utilizar técnicas de privacidad diferencial y obtener un consentimiento informado específico que detalle el uso de los datos para la investigación, minimizando la identificación individual.

Analiza cómo el derecho de acceso a los datos personales puede ser ejercido en el contexto de plataformas de redes sociales que recopilan grandes cantidades de información sobre sus usuarios y cuáles son las limitaciones prácticas de este derecho.

En redes sociales, el derecho de acceso permite a los usuarios solicitar una copia de sus datos recopilados. Sin embargo, las limitaciones prácticas incluyen la dificultad de obtener una visión completa y comprensible de todos los datos (logs, inferencias algorítmicas) y los desafíos técnicos para las empresas al proporcionar esta información de manera accesible.

¿Cómo podría una empresa garantizar el cumplimiento del principio de limitación del plazo de conservación de los datos en un contexto de evolución constante de las tecnologías de almacenamiento y análisis de datos (ej: big data, machine learning)?

Una empresa puede garantizarlo implementando políticas de retención de datos claras y automatizadas, revisando periódicamente la necesidad de conservar datos, y utilizando técnicas de anonimización o seudonimización para datos que se conservan a largo plazo con fines estadísticos o de mejora de servicios, respetando siempre el principio de minimización.

¿Qué implicaciones tiene para el responsable del tratamiento de datos obtener el consentimiento del interesado sin especificar de manera concreta y delimitada la finalidad del tratamiento, según el artículo 12.1 del Real Decreto 1720/2007?

Obtener el consentimiento sin una finalidad concreta y delimitada contraviene el artículo 12.1, invalidando el consentimiento. Esto significa que el tratamiento de datos realizado bajo este consentimiento podría considerarse ilegal, exponiendo al responsable a sanciones y reclamaciones por parte del interesado.

Según el artículo 12.2, para la cesión de datos se exige informar al afectado sobre la finalidad y el 'tipo de actividad desarrollada por el cesionario'. ¿Por qué se considera relevante especificar el 'tipo de actividad' y no solo la finalidad de la cesión?

Especificar el 'tipo de actividad' del cesionario, además de la finalidad, es crucial para que el afectado evalúe el contexto general del tratamiento y los posibles riesgos asociados a la cesión. Esto permite una decisión más informada sobre el consentimiento, considerando no solo el 'para qué' sino también el 'quién' y 'cómo' se usarán sus datos.

El artículo 12.3 establece que corresponde al responsable del tratamiento probar la existencia del consentimiento. ¿Qué desafíos prácticos podría enfrentar un responsable al intentar demostrar el consentimiento del afectado 'por cualquier medio de prueba admisible en derecho', especialmente en entornos digitales?

En entornos digitales, demostrar el consentimiento puede ser desafiante. Aunque se permiten 'cualquier medio de prueba', la volatilidad de las evidencias electrónicas y la dificultad para verificar la identidad del otorgante presentan problemas. Registros de logs, capturas de pantalla o grabaciones podrían ser válidos, pero su autenticidad y fiabilidad pueden ser cuestionadas.

El artículo 14.2 permite solicitar el consentimiento informando y concediendo un plazo de 30 días para manifestar la negativa, entendiendo el silencio como consentimiento. ¿Considera que este procedimiento podría ser problemático en ciertos contextos y para qué tipo de tratamientos?

Este procedimiento podría ser problemático, especialmente para tratamientos de datos sensibles o para colectivos vulnerables con menor acceso a la información o menor capacidad de reacción. Entender el silencio como consentimiento puede ser inadecuado cuando no se garantiza que el interesado haya comprendido plenamente la comunicación y tenga la capacidad real de oponerse.

En el contexto del artículo 14.2, si un responsable envía una comunicación solicitando consentimiento junto con información periódica o facturación, pero esta comunicación no es 'claramente visible', ¿qué implicaciones legales podría tener?

Si la comunicación de solicitud de consentimiento no es 'claramente visible' al incluirse con información periódica o facturación, se consideraría que no cumple con los requisitos del artículo 14.2. En consecuencia, el consentimiento obtenido podría ser considerado inválido, con las mismas implicaciones legales que un tratamiento sin consentimiento.

¿Cómo se relaciona el 'deber de información' mencionado en el artículo 14.2 con los principios generales del artículo 12, específicamente en lo que respecta a la validez del consentimiento para la cesión de datos?

El 'deber de información' del artículo 14.2 es un mecanismo para asegurar el cumplimiento de los principios del artículo 12, especialmente en la cesión de datos. La información proporcionada al afectado (finalidad y actividad del cesionario) es crucial para que el consentimiento sea válido según el artículo 12.2. Sin información adecuada, el consentimiento para la cesión sería nulo.

El artículo 12.1 exceptúa la exigencia de consentimiento 'en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes'. Proporcione un ejemplo hipotético, plausible según la legislación española, de un tratamiento de datos personales que no requeriría el consentimiento del interesado.

Un ejemplo hipotético podría ser el tratamiento de datos personales por parte de las autoridades sanitarias para el control de una epidemia declarada oficialmente. En situaciones de emergencia sanitaria o interés público esencial, la ley podría permitir el tratamiento de datos de salud sin consentimiento explícito, basándose en el interés público y obligaciones legales del estado.

Según el artículo 12.2, si el consentimiento para la cesión de datos es nulo por falta de información adecuada, ¿qué tipo de responsabilidades legales podría enfrentar el responsable del tratamiento original y el cesionario de los datos?

Si el consentimiento es nulo, tanto el responsable original como el cesionario podrían enfrentar responsabilidades legales. El responsable original por realizar una cesión ilegítima, y el cesionario por recibir y tratar datos obtenidos sin un consentimiento válido. Ambos podrían ser objeto de sanciones administrativas, reclamaciones por daños y perjuicios por parte del afectado, e incluso incurrir en responsabilidades penales según la gravedad.

Flashcards

¿Qué son datos de carácter personal?

Cualquier información concerniente a personas físicas identificadas o identificables.

¿Cómo deben ser los datos recogidos?

Solo se pueden recoger y tratar datos adecuados, pertinentes y no excesivos para finalidades determinadas, explícitas y legítimas.

¿Cuándo se permite usar datos para otros fines?

El tratamiento posterior para fines históricos, estadísticos o científicos no se considera incompatible.

¿Cómo deben ser los datos personales?

Deben ser exactos y actualizados para reflejar la situación actual del afectado.

¿Qué ocurre con datos inexactos o incompletos?

Se cancelan y sustituyen por datos rectificados o completados.

¿Cuándo se cancelan los datos personales?

Se cancelan cuando ya no son necesarios para la finalidad para la que fueron recogidos.

¿Cómo deben almacenarse los datos?

Deben almacenarse de forma que permitan el ejercicio del derecho de acceso.

¿Qué métodos de recogida de datos están prohibidos?

Se prohíbe la obtención de datos por medios fraudulentos, desleales o ilícitos.

¿Consentimiento requerido?

El responsable del tratamiento debe obtener el consentimiento del interesado para tratar sus datos personales, excepto cuando la ley no lo exija.

¿Especificidad del consentimiento?

El consentimiento debe referirse a un tratamiento o serie de tratamientos específicos, delimitando la finalidad y condiciones.

¿Información al ceder datos?

Al solicitar el consentimiento para ceder datos, se debe informar claramente sobre la finalidad y el tipo de actividad del cesionario.

¿Consecuencia de falta de información?

Si no se informa adecuadamente sobre la finalidad de la cesión, el consentimiento será nulo.

¿Prueba del consentimiento?

El responsable del tratamiento debe demostrar que obtuvo el consentimiento del afectado.

¿Plazo para negar el consentimiento?

El responsable puede solicitar el consentimiento dando un plazo de 30 días para negarse al tratamiento, advirtiendo que, de no pronunciarse, se entenderá que consiente.

¿Solicitud en servicios periódicos?

Cuando se preste un servicio con información o facturación periódica, la solicitud de consentimiento puede incluirse de forma visible en dicha información o facturación.

¿Como se puede solicitar el consentimiento?

El responsable del tratamiento puede solicitar el consentimiento del interesado, salvo que la Ley exija obtener el consentimiento expreso para el tratamiento de los datos.

Devolución de comunicación

El responsable debe saber si una comunicación fue devuelta para no tratar los datos del interesado.

Negativa al tratamiento de datos

Debe ser fácil y sin costo para el usuario.

Frecuencia de solicitud de consentimiento

No se puede solicitar nuevamente el consentimiento para el mismo tratamiento y finalidad antes de un año.

Revocación del consentimiento

El afectado puede retirar su autorización de forma sencilla y gratuita.

Medios NO válidos para la negativa al tratamiento

Enviar cartas certificadas o usar servicios de tarificación adicional.

Plazo para cese del tratamiento tras revocación

El responsable debe dejar de tratar los datos en un máximo de 10 días.

Obligación de bloqueo de datos

Obligación de bloquear los datos según la Ley Orgánica 15/1999.

Confirmación de cese del tratamiento

Debe responder a la solicitud del interesado sobre la confirmación del cese del tratamiento de sus datos.

Study Notes

Protección de Datos de Carácter Personal

• El tema trata sobre el concepto de datos personales, principios de calidad, consentimiento para el tratamiento, deber de información, y revocación del consentimiento.

Concepto de Datos Personales y Principios Relativos a la Calidad

• La Ley Orgánica 15/1999, de 13 de diciembre, regula la Protección de Datos de Carácter Personal.
• Datos de carácter personal se refieren a cualquier información sobre personas físicas identificadas o identificables.
• Los datos personales solo se pueden recoger para su tratamiento si son adecuados, pertinentes y no excesivos en relación con el ámbito y fines determinados.
• Los datos personales no deben usarse para fines incompatibles con aquellos para los que se recogieron.
• El tratamiento posterior con fines históricos, estadísticos o científicos no se considera incompatible.
• Los datos deben ser exactos, actualizados y veraces con respecto a la situación actual del afectado.
• Los datos inexactos o incompletos deben cancelarse y sustituirse, respetando los derechos del afectado según el artículo 16.
• Los datos deben cancelarse si ya no son necesarios o pertinentes para la finalidad original.
• Los datos no se deben conservar por más tiempo del necesario para los fines para los que fueron recabados.
• El procedimiento para el mantenimiento íntegro de datos con valor histórico, estadístico o científico se determinará reglamentariamente.
• Los datos deben almacenarse de forma que permitan ejercer el derecho de acceso, a menos que se cancelen legalmente.
• Está prohibida la recogida de datos por medios fraudulentos, desleales o ilícitos.

Consentimiento y Deber de Información

• El Real Decreto 1720/2007 aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 sobre protección de datos personales.
• Se debe obtener el consentimiento del interesado para tratar sus datos personales, excepto en los casos en que la ley no lo exija.
• La solicitud de consentimiento debe especificar el tratamiento o serie de tratamientos, su finalidad y las condiciones aplicables.
• Si se solicita la cesión de datos, se debe informar al afectado sobre la finalidad y el tipo de actividad del cesionario; de lo contrario, el consentimiento es nulo.
• El responsable del tratamiento debe probar que existe consentimiento del afectado.
• El consentimiento se puede solicitar a través de un procedimiento, a menos que la ley exija consentimiento expreso.
• Se puede informar al afectado sobre el tratamiento, dándole 30 días para oponerse, advirtiendo que si no responde, se entenderá que consiente.
• En servicios periódicos o de facturación, la información puede incluirse en la comunicación o factura.
• El responsable debe poder verificar si la comunicación ha sido entregada.
• Se debe ofrecer un medio sencillo y gratuito para revocar el consentimiento.
• No se puede solicitar nuevamente el consentimiento para los mismos tratamientos y fines hasta después de un año desde la solicitud anterior.

Revocación del Consentimiento

• El afectado puede revocar el consentimiento de forma sencilla y gratuita, sin coste alguno.
• Los medios para revocar el consentimiento no deben implicar costes adicionales para el interesado.
• El responsable debe cesar el tratamiento de los datos en un plazo máximo de diez días desde la recepción de la revocación.
• Si el interesado solicita confirmación del cese del tratamiento, debe recibir una respuesta expresa.
• Si los datos se han cedido previamente, el responsable debe comunicar la revocación a los cesionarios en el mismo plazo, para que cesen el tratamiento.