TEMA 6: Introducción al Derecho a la Protección de Datos PDF

6.1. Introducción, método y objetivos En el tema anterior hemos tenido ocasión de estudiar los conceptos clave del régimen jurídico-constitucional del derecho fundamental a la protección de datos personales. La aproximación a nuestro objeto de estudio desde el Derecho Constitucional constituye así una introducción a la que debe suce- derle un análisis del régimen jurídico desarrollado en los últimos años, tanto por las instituciones europeas como por el legislador nacional. Como hemos tenido ocasión de analizar, el derecho fundamental a la pro- tección de datos desborda el ámbito material del derecho al honor, intimidad personal y propia imagen, por lo que es necesario profundizar con mayor detalle en los diferentes derechos subjetivos, deberes, organismos y actores que intervienen en este escenario, tanto en el sector público como privado. De este modo, este tema analizará el Reglamento (UE) 2016/679 del Par- lamento Europeo y del Consejo de 27 de abril de 2016 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Se estudiará su ámbito territorial y definiciones; los principios relativos al tratamiento de datos personales; las bases habilitantes para el tratamiento de datos personales, los derechos del individuo y, por último, el régimen sancionador. No obstante, esta normativa no solo recoge los derechos subjetivos naci- dos en los últimos lustros, como el caso de los derechos digitales que se incorporan como novedad, sino que también contemplan los clásicos dere- chos de acceso, rectificación, supresión y oposición. Por otra parte, no con- viene perder de vista que muchos de los derechos que se incorporan en los últimos años son una sofisticación de derechos previamente reconocidos desde el Convenio 108. De este modo, el derecho al olvido no deja de ser un derecho de supre- sión aplicado a Internet. No obstante, surgen otro tipo de derechos, como la desconexión digital en el ámbito laboral, que van parejos a fenómenos que el legislador de los años ochenta o noventa difícilmente podía haber previsto, por lo que se configuran como derechos de la era digital. En otro orden de consideraciones, el presente tema no olvida el régimen jurí- dico de las telecomunicaciones y la contratación de servicios de la sociedad de la información, en concreto Ley 34/2002, de 11 de julio, de servicios de la socie- dad de la información y de comercio electrónico. Así pues, se estudiarán las nor- mas aplicables a la contratación por vía electrónica, así como las obligaciones de los prestadores de servicios e intermediarios que operan en este contexto. 6.2. Temas claves 6.2.1. El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 El estudio del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (en adelante, RGPD) debe comenzar con la delimitación de su ámbito objetivo y territorial. En este sentido, respecto al objeto de la norma, debe tenerse presente que el RGPD regula el tratamiento de los datos personales de las personas físicas y, en especial, el derecho a la protección de datos de carácter personal. A esta definición debe añadírsele la delimitación material contemplada en el art. 2. De acuerdo con este precepto, la norma se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. Además, en la medida en que las instituciones de la Unión Europea que ostentan potestad legislativa no pueden extralimitarse de las competencias exclusivas, compartidas o complementarias establecidas en los tratados, escapan al objeto de la norma aquellos tratamientos de datos personales que se lleven a cabo en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión, salvo que los Estados de forma indi- vidual así lo prevean. Entre estas excepciones, cabe señalar aquellos tratamientos: a\) Efectuados por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE, es decir, las relativas a la acción exterior de la Unión y disposiciones específicas relativas a la política exterior y de seguridad común. b\) Los efectuados por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infrac- ciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención. No obstante, como se ha adelantado, el legislador nacional puede expan- dir la eficacia material del RGPD a áreas que escapan a las competencias de la UE. En este sentido, el art. 2.3, 2.4 y 2.5 LOPDGDD contemplan su aplica- ción en: Los tratamientos realizados al amparo de la legislación orgánica del régimen electoral general; Los tratamientos realizados en el ámbito de instituciones penitenciarias; Los tratamientos derivados del Registro Civil; Los Registros de la Propiedad y Mercantiles; El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competen- tes, así como el realizado dentro de la gestión de la Oficina Judicial; El tratamiento de datos llevado a cabo con ocasión de la tramitación por el Ministerio Fiscal de los procesos de los que sea competente, así como el realizado con esos fines dentro de la gestión de la Oficina Fiscal. En todos estos supuestos, sin embargo, se aplica la normativa específica de cada ámbito, y el RGPD y la LOPDGDD de manera supletoria. En cambio, ejemplo de campo que responde a otro régimen jurídico sería la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Esta norma transpone la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, pero lo hace legislando en un ámbito competencial sobre el que el RGPD se declara inoperante. Por último, también desbordan el objeto de aplicación del RGPD el trata- miento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas. Por este tipo de tratamiento debe entenderse aquel que no trasciende la esfera personal o doméstica, no sur- tiendo efectos más allá del ámbito privado (en este sentido, SAN de 15 de junio de 2006). Por otra parte, no debe confundirse el RGPD con el Reglamento (CE) no 45/2001 es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. En este caso, la norma desarrolla el mandato del art. 16.2 TFUE, que hace referencia a este derecho cuando deba ejercitarse ante las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las activida- des comprendidas en el ámbito de aplicación del Derecho de la Unión. Por el contrario, el régimen jurídico ordinario en materia de protección de datos, y que es objeto de estudio en este tema, está vinculado al art. 16.1 TFUE, así como al art. 8, apartado 1, de la Carta de Derechos Fundamentales de la Unión Europea y el artículo 8 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales. Siguiendo con la delimitación material de la norma que nos ocupa, aunque no será hasta más adelante cuando nos detengamos en las definiciones, a los efectos de delimitar aún más el objeto del RGPD, conviene recordar que por «datos personales» se entiende toda información sobre una persona física identificada o identificable. Por «identificada» se entiende aquella información que directamente revela la identidad de la persona física, mientras que el concepto de «identificable» depende de cuestiones técnicas relacionadas las bases de datos estructura- das (por ejemplo, las llaves primarias en SQL que permiten relacionar varias tablas entre sí) En este sentido, para los propósitos del presente tema, es suficiente con ofrecer una definición de «identificable» como aquel dato que potencialmente puede revelar la identidad de la persona física, sin contenerla directamente (por ejemplo, una matrícula del coche con el concurso de las bases de datos de la DGT). A este dato adicional que permite identificar a la persona se le denomina identificador (o primary key en ciencia de datos). En esta línea, el reglamento menciona como ejemplos de datos de identi- ficación de la persona: Un número de identificación. Los datos de localización. Un identificador en línea. Uno o varios elementos propios de la identidad física, fisiológica, gené- tica, psíquica, económica, cultural o social de una determinada persona. En la siguiente imagen se muestra cómo una información que aparente- mente no viene asociada a una persona física puede llegar a estarlo poten- cialmente en virtud de los identificadores únicos (ID\_Cliente), que permiten establecer relaciones con otras tablas: Así pues, y en consonancia con esta definición, también escapan al objeto de regulación de la norma el tratamiento de datos personales anonimizados, esto es, aquellos ante los que no es técnicamente posible identificar su vin- culación a determinadas personas físicas. Por ello, su régimen jurídico se encuentra en otras normas, como el Regla- mento (UE) 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a un marco para la libre circulación de datos no personales en la Unión Europea. Y la definición de qué deba ser un dato anonimizado debemos buscarla en otra norma europea, y que será objeto de estudio en el décimo tema, a saber: la Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público, pues en el RGPD no lo encontraremos a no ser que realicemos una inter- pretación a contrario del concepto de seudonimización que se detalla más abajo. Así pues, de acuerdo con esta Directiva (art. 2), la anonimización es el «proceso por el que se transforman documentos en documentos anónimos que no se refiere a una persona física identificada o identificable o al proceso de convertir datos personales que se hayan anonimizado, de forma que el interesado no sea identificable o haya dejado de serlo». La pérdida de poten- cialidad de los datos para identificar a una persona física es lo que distingue la anonimización de la seudonimización, en la que esta posibilidad se man- tiene abierta, aunque con restricciones de seguridad importantes. Ello nos conduce necesariamente al estudio de algunas de las definiciones contempladas en el art. 4 del RGPD, las cuales se resumen en el siguiente esquema: S PERSONALES DEFINICIONES (Art. 4 RGPD) TRATAMIENTO Toda información sobre una persona física identificada o identificable «el interesado»; se considerará persona física identificable toda per- sona cuya identidad pueda determinarse, directa o indi- rectamente, en particular mediante un identificador, como por ejemplo un nom- bre, un número de identifi- cación, datos de localización, un identificador en línea o uno o varios elementos pro- pios de la identidad física, fisiológica, genética, psí- quica, económica, cultural o social de dicha persona. Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos auto- matizados o no, como la recogida, registro, orga- nización, estructuración, conservación, adaptación o modificación, extrac- ción, consulta, utilización, comunicación por trans- misión, difusión o cual- quier otra forma de habili- tación de acceso, cotejo o interconexión, limitación, supresión o destrucción. Fuente: Elaboración Propia a partir del art. 4 RGPD SEUDONIMIZACIÓN El tratamiento de datos personales de manera tal que ya no puedan atribuirse a un intere- sado sin utilizar informa- ción adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destina- das a garantizar que los datos personales no se atribuyan a una per- sona física identificada o identificable. Respecto al ámbito de aplicación territorial, el RGPD se aplica al trata- miento de datos personales relacionados con las actividades de un estable- cimiento del responsable o del encargado en la Unión, independientemente de que estos estén sitos en la UE. Los principios relativos al tratamiento de datos personales El art. 5 RGPD enumera los distintos principios que deben regir en el trata- miento de los datos personales. La noción de «principio» no debe confundirse con la de «licitud», que será objeto de análisis en la siguiente sección, pues mientras que los principios operan siempre, esto es, el tratamiento de datos no puede sustraerse a ellos en ninguna circunstancia, cuando hablamos de licitud o bases habilitantes para el tratamiento de los datos nos referiremos a los distintos supuestos alternativos y no excluyentes entre sí que legitiman su uso. De este modo, los principios en esta materia se resumen en el siguiente esquema, de acuerdo con el cual los datos deben tratarse: PRINCIPIOS DE PROTECCIÓN DE DATOS (Art. 5 RGPD) 1 Licitud, lealtad y transparencia. 2 3 4 Exactitud 5 Limitación del plazo de conservación 6 Integridad y confidencialidad Limitación de la finalidad Minimización de datos De manera lícita, leal y transparente en relación con el interesado. Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompati- ble con dichos fines. Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, entre otros. Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la apli- cación de medidas técnicas u organizativas apropiadas. Fuente: Elaboración Propia a partir del art. 5 RGPD. Nótese que, como ha señalado la doctrina, el consentimiento no aparece en el listado de los principios y, en este sentido, el RGPD «ya no lo sitúa como un principio stricto sensu de la protección de datos, sino como una mera base de licitud, que legitima o fundamenta el tratamiento o procesamiento de datos» (Simon 2018, p. 40). Es importante subrayar este aspecto porque a menudo es causa de con- fusión, especialmente desde que el consentimiento tácito no es admitido como base habilitadora, como veremos en la próxima sección, causando un aluvión de solicitudes de consentimiento en primavera de 2018 (lo que, a su vez, puede generar el malentendido de que el consentimiento pasó a ser un principio, cuando no es el caso). La licitud será objeto de análisis en la próxima sección, y se identifica con las bases habilitantes que legitiman el tratamiento de datos. En lo concerniente al análisis doctrinal y jurisprudencial de los principios, cabe mencionar las siguientes ideas clave: Respecto al principio de transparencia se puede citar la Sentencia del Tribu- nal de Justicia (Sala Tercera) de 1 de octubre de 2015. Smaranda Bara y otros contra Președintele Casei Naţională de Asigurări de Sănătate y otros, en la que se concluyó que, en relación con la licitud, lealtad y transparencia en el trata- miento de datos, el derecho europeo se opone a que una administración pública de un Estado miembro pueda transmitir «datos personales a otra administra- ción pública y el subsiguiente tratamiento de esos datos, sin que los interesados hayan sido informados de esa transmisión ni de ese tratamiento» (párrafo 46). En las Directrices sobre Transparencia del Grupo de Trabajo del artículo 29, se hace referencia al concepto de transparencia del RGPD, subrayando que es un principio centrado en el usuario más que en la legalidad, y que debe operar bajo los criterios de calidad, la accesibilidad y la comprensibilidad de la información «Concise, transparent, intelligible and easily accessible». Este Grupo (GT29) fue creado por la Directiva 95/46/ CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995. No obstante, el RGPD ha previsto el Comité Europeo de Protección de Datos, que lo sucede como organismo europeo independiente. Respecto a la minimización de datos y limitación del plazo de conserva- ción, la Sentencia del Tribunal de Justicia (Gran Sala) de 8 de abril de 2014 Digital Rights Ireland Ltd contra Minister for Communications, Marine and Natural Resources y otros y Kärntner Landesregierung y otros concluyó que, respecto a la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público que imponía la Directiva 2006/24, constituía una injerencia en los derechos garantizados por el artículo 7 de la Carta (párrafo 34) y, además, «el acceso de las autoridades nacionales competentes a los datos constituye una inje- rencia adicional en ese derecho fundamental (véase, en lo que respecta al artículo 8 del CEDH, las sentencias TEDH, Leander y Suecia de 26 de marzo de 1987, serie A n.° 116, § 48; Rotaru c. Rumanía \[GS\], n.º 28341/95, § 46, CEDH 2000-V, y Weber y Saravia c. Alemania (dic.), n.º 54934/00, § 79, CEDH 2006-XI). Por lo tanto, los artículos 4 y 8 de la Directiva 2006/24, que estable- cen normas relativas al acceso de las autoridades nacionales competentes a los datos, también constituyen una injerencia en los derechos garantizados por el artículo 7 de la Carta» (párrafo 35)» Este supuesto trataba sobre la ilicitud de reaprovechamiento de la informa- ción cuando se llevaba a cabo entre el sector público. No obstante, cabe seña- lar que la legislación europea ha promovido en los últimos años el reaprove- chamiento de esta información para el sector público. A este respecto, como ha señalado la doctrina, cuando la información proviene del sector público, «el art. 18.4 CE supone un límite constitucional para el aprovechamiento de los datos personales en el sector privado» (Troncoso 2009, p. 250). Más problemático, por ser palmariamente incongruente con el principio de limitación del tratamiento, es el supuesto de reaprovechamiento de informa- ción pública para fines privados cuando no hay un mandato legal, de modo que la finalidad inicial, en la que concurre el interés público, transmuta en interés privado. Es el caso del procedimiento sancionador de la AEPD número PS/00240/2019, en el que una empresa dedicada al análisis de solvencia de particulares aprovechaba la información de deudas públicas, accesibles en mediante Fichero de Reclamaciones Judiciales y Organismos Públicos, para realizar análisis de riesgos con finalidades privadas. Como se señaló en el tema anterior la jurisprudencia del TEDH también tiene aportaciones en materia de protección de datos, en la medida que afec- ten al art. 8 CEDH. En este sentido, y en relación con el principio de limi- tación del plazo de conservación, es ilustrativa la STEDH Marper contra el Reino Unido, de acuerdo con la cual los principios básicos de la protección de datos exigen que la conservación de estos sea proporcionada en relación con la finalidad de la recogida e insisten en la limitación de los periodos de almacenamiento (párrafo 107). Siguiendo con el principio de limitación del plazo de conservación y trata- miento, puede citarse el procedimiento sancionador de la Agencia Española de Protección de Datos número PS/00076/2020. En este caso, una entidad bancaria conservó los datos de un excliente durante dieciséis años, pese a que no mediaba ninguna relación contractual vinculada a alguno de los productos ofrecidos. En cuanto a la minimización de datos, como observa la doctrina (Troncoso Reigada, 2021), los conceptos de adecuación y pertenencia, vinculados a la noción de necesidad, pueden complementarse con los criterios que deben informar el principio de proporcionalidad de acuerdo con una consolidada jurisprudencia del Tribunal Constitucional a este respecto. En este sentido, para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple cumulativa y escalonadamente los tres siguientes requisitos o condi- ciones (FJ 4, STC 207/1996, de 16 de diciembre): Si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad). Si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad). Si la misma es ponderada o equilibrada, por derivarse de ella más bene- ficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto). Siguiendo esta línea, un supuesto de tratamiento de datos que no respete el mandato de minimización, desbordando el juicio de proporcionalidad, no puede ser un tratamiento legítimo, por mucho que concurra el consentimiento del interesado. Por ejemplo, si una empresa aseguradora requiere al asegu- rado datos que no son necesarios para el análisis de riesgo, penetrando inne- cesariamente en la esfera de la intimidad, y sin respetar el principio de juicio de necesidad, estaríamos ante un caso de vulneración del mencionado principio. En lo referente al principio de exactitud de datos, la Sentencia del Tribunal de Justicia (Sala Tercera) de 7 de mayo de 2009. College van burgemeester en wethouders van Rotterdam contra M. E. E. Rijkeboer, dispuso que el derecho a la intimidad «conlleva que la persona de que se trata pueda cerciorarse de la exactitud y de la licitud del tratamiento de sus datos personales, esto es, en particular, de que los datos principales son exactos, y de que son comuni- cados a los destinatarios autorizados» (párrafo 49). Como se ha visto, el propio TJUE ha llegado a declarar la invalidez de deter- Régimen jurídico de protección de datos personales minado articulado de un acto normativo de la UE (el caso de la antigua Directiva 2006/24) fundamentando su colisión con los principios de protección de datos. Ello refuerza la tesis de acuerdo con la cual los principios no son solo conceptos informadores, sino que establecen deberes, obligaciones y derechos subjetivos. Además, desde un punto de vista de las fuentes del derecho de la UE, los principios mencionados, en la medida en que se relacionan los artículos 7 y 8 de la CDFUE (respeto de la vida privada y familiar, y protección de datos de carácter personal, respectivamente), son jerárquicamente superiores a las fuentes secundarias de derecho de la UE (directivas, reglamentos...) por lo que prevalecen sobre estos y son utilizados por el tribunal como un canon de constitucionalidad sui generis en el contexto de las competencias de la UE. El Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo de 27 de abril de 2016 Principios Derechos \- Ámbito de aplicación material Licitud y bases habilitantes para el tratamiento de datos personales Llegados a este punto debemos detenernos en el concepto de licitud, vin- culado al conjunto de bases habilitantes para el tratamiento de datos perso- nales contemplados en el art. 6 RGPD. \- Los principios relativos al tratamiento de los datos \- Licitud y bases habilitantes para el tratamiento de datos personales 2\. Limitación de la finalidad 3\. Minimización de datos 4\. Exactitud Pues bien, por base habilitante debemos entender el conjunto de supues- tos que legitiman el tratamiento de datos personales. De este modo, de acuerdo con el precepto citado la licitud opera cuando concurre alguna de las siguientes circunstancias: \- Derechos de los individuos 5\. Limitación del plazo de conservación 6\. IConsentimiento Comenzando por el consentimiento, la Agencia Española de Protección de Datos hace referencia a los requisitos a partir de los criterios sentados por el Comité de Ministros del Consejo de Europa: Por «libre» entiende que es aquel contenido obtenido sin vicio en el consentimiento, esto es, dentro de los términos regulados en el Código Civil. Por «específico» entiende que es la referencia a una determinada ope- ración de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento. Por «informado» entiende que es aquella situación donde el afectado conoce con anterioridad al tratamiento la existencia de este y las fina- lidades por las cuales se produce. Por «inequívoco» entiende que no se puede deducir el consentimiento a partir de meros actos. Como se ha avanzado anteriormente, la novedad que presentó en su momento la entrada en vigor y aplicación del RGPD conllevó la necesidad de que el consentimiento se recabe de forma explícita, sin que quepa admitir la validez del consentimiento presunto o tácito. A este respecto, cabe tener presente el considerando trigésimo segundo del RGPD: «El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electróni- cos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indi- que claramente en este contexto que el interesado acepta la propuesta de trata- miento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no per- turbar innecesariamente el uso del servicio para el que se presta». Por otra parte, como ha señalado la doctrina (Polo 2020) a las normas de protección de datos les será de aplicación el régimen general del consenti- miento en materia civil española, puesto que la legislación a la que hacemos referencia en este tema no tiene como objeto regular minuciosamente las condiciones de validez de este. Por último, conviene recordar que, de acuerdo con el art. 8 RGPD, cuando se aplique la base habilitante del consentimiento en relación con la oferta directa a niños de servicios en el contexto de la sociedad de la información, el tratamiento de los datos personales se considerará lícito cuando tenga como mínimo 16 años. Por debajo de esta edad, el tratamiento solo se considerará lícito si el con- sentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño. Ejecución de un contrato o precontrato Otra de las bases habilitantes para el tratamiento de datos personales constituye la ejecución de un contrato o precontrato. En este sentido, si se cumplen los principios de protección de datos (limitación del tratamiento, minimización de datos, principio de transparencia, etc.), así como el principio de proporcionalidad asociados los mismos, el tratamiento de datos persona- les vinculadas a un contrato o precontrato es lícito. También debe tenerse presente que, de acuerdo con lo dispuesto en el Art. 6.3 de la LOPDGDD, la ejecución del contrato no se podrá supeditar a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual. Además, no debe confundirse con la base habilitante del consentimiento, ni con el consentimiento prestado para que el contrato en cuestión sea válido, ya que es la relación de necesidad y proporcionalidad entre los datos y el objeto del contrato el que fundamenta esta base habilitante. Obligación legal del responsable del tratamiento Entre los supuestos que legitiman el tratamiento de datos personales, encontramos también la obligación legal para el responsable del tratamiento. Ejemplos de ello serían la petición de cesión de datos por auto judicial, o por la Hacienda Pública, cuando se da el requisito de concreción de la obligación bajo reserva de ley. En este contexto, es habitual que la obligación legal influya en el principio de limitación del plazo del tratamiento, así como en el ejercicio del derecho de supresión, pues, aunque desaparezca la base habilitante del contrato, el responsable del tratamiento puede verse obligado a conservar los datos en un segundo plano y con las garantías de confidencialidad e integridad necesarias. Por ello, la técnica del bloqueo de datos (art. 32 LOPDGDD) está pensada para cumplir esta doble obligación, de modo que se adopten medidas técnicas y organizativas, «para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones públicas competentes, en particular de las autori- dades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas». Intereses vitales del interesado Los intereses vitales del interesado constituyen otra de las bases habili- tantes para el tratamiento de datos personales. En escenarios en los que el tratamiento de dichos datos pueda revertir en la protección de estos intere- ses vitales, se entiende que el uso es legítimo sin la concurrencia necesaria de otra base habilitante como el consentimiento (a este respecto hay que recordar que el art. 6 RGPD dispone que la licitud requiere al menos uno de los supuestos que son objeto de estudio en esta sección). El ejemplo clásico sería el del tratamiento de los datos en un hospital tras un accidente. En este supuesto, el facultativo no requiere el consentimiento del interesado para consultar la identidad o el historial médico del paciente. Interés público En lo concerniente al interés público, entendemos por uso público de bases de datos aquel que está destinado a un fin de interés general previsto en la ley. Por lo tanto, no cualquier utilización de la información merecerá este calificativo, sino aquella que obedece a una necesidad, utilidad, beneficio o provecho de la sociedad y, además, esté contemplado en una norma con rango de ley. No cabe confundir esta noción con la de uso legítimo. Un uso de datos puede ser legítimo, por estar previsto en la ley, pero puede responder a inte- reses privados (por ejemplo, la ejecución de un contrato entre particulares). Tampoco debe entenderse el concepto de uso público con el de habili- tación legal, pese a su semejanza. El artículo 8 de la LOPDGDD contempla estas dos vertientes en el mismo precepto, pero no son equivalentes. La habilitación legal implica que el uso de los datos está contemplado en una norma con rango de ley o de Derecho de la Unión Europea, por lo que el usuario estaría legitimado a la utilización de dichos datos en el marco, límites y otras especificaciones determinadas en la norma. Por el contrario, cuando nos referimos a uso público de bases de datos, estamos recurriendo a un concepto distinto y que debe cumplir las dos notas características siguien- tes: la finalidad de interés general y su contemplación en una norma legal. El mismo artículo citado arriba lo prevé como desarrollo del artículo 6.1 del RGDP, que contempla un escenario de licitud del tratamiento cuando «es nece- sario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento». En términos más específicos, la Comisión Europea, en el marco de la estra- tegia de datos, define el uso público del siguiente modo: Los datos son creados por la sociedad y pueden servir para hacer frente a situaciones de emergencia, como inundaciones o incendios forestales, ayu- dar a que las personas disfruten de una vida más larga y más sana, mejorar los servicios públicos y luchar contra la degradación del medio ambiente y el cambio climático, y, cuando sea necesario y proporcionado, garantizar una lucha más eficaz contra la delincuencia. (Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones: una Estrategia Europea de Datos, p. 7) En esta línea, como señala la Comisión, debe observarse que, al contrario de lo que podría concluirse tras un análisis apresurado, los datos recopilados por entidades de derecho privado, debidamente anonimizados, pueden lle- gar a ser objeto de un uso de interés general. Por otra parte, la reserva de ley, es decir, el requisito de que el contenido esté previsto en una norma con rango legal está contemplado en el articulo8 LOPDGDD, que entiende satisfecha esta condición cuando se dé cumpli- miento a una misión de interés público y el uso de los datos derive de una competencia atribuida por una norma con rango de ley. En este sentido, pues, el uso público de las BBDD es aquel que responde al interés general, público o social que el legislador contempla en la ley. Estos conceptos aparecen en la Constitución de 1978 en varios preceptos: 76.1 y 124.1 (interés público), 33.3 y 124 (interés social), y 103.1 (intereses genera- les), en este último caso vinculado a la administración pública. Por su parte, la ley también hace un uso recurrente a este concepto, por ejemplo, la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones públicas a lo largo de su articulado en nume- rosas ocasiones. El RGPD utiliza este concepto jurídico, por ejemplo, en el artículo 43 cuando indica que, en relación con el tratamiento de datos: «pueden responder tanto a motivos importantes de interés público como a los intere- ses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emer- gencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano». El problema es que a menudo la ley utiliza este concepto como motivo habilitador para que la administración actúe en un procedimiento, sin espe- cificar, como sí hace el reglamento citado, a qué hace referencia. De este modo, podríamos encontrarnos ante un concepto jurídico indeterminado. Esto ocurriría cuando la ley invoca el interés público, pero no específica su contenido. En este caso, estamos ante actuaciones que la justicia puede contro- lar en virtud del artículo 106.2 de la Constitución, que habilita el poder judicial para controlar la legalidad de la actuación de las administraciones públicas. En esta línea, la vaguedad de la noción de interés público también puede ser motivo de control de constitucionalidad. El ejemplo de la indeterminación del concepto de este concepto nos lo da la STC 76/2019, de 22 de mayo. Esta sentencia analizaba la constitucionalidad del apartado 1 del art. 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general, incorpo- rado a esta por la disposición final tercera, apartado dos, de la LOPDGDD. En concreto, se trataba de dilucidar si, en el contexto de campañas electora- les, el tratamiento de datos sensibles referentes a la ideología de las personas podría ser amparado por el ordenamiento jurídico, invocando únicamente el concepto de interés público. De modo más específico, el precepto impugnado en cuestión rezaba como sigue: «La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el inte- rés público únicamente cuando se ofrezcan garantías adecuadas». En este caso, el alto tribunal arguyó que la disposición legal impugnada no identificaba en ningún momento ese interés público esencial, presuponiendo su existencia sin que se llegara a especificarla (FJ 7 la STC 76/2019, de 22 de mayo). Así pues, la sentencia concluía que la legitimidad constitucional de la restricción del derecho fundamental a la protección de datos personales: «no puede estar basada, por sí sola, en la invocación genérica de un indeter- minado «interés público». Pues en otro caso el legislador habría trasladado a los partidos políticos ---a quienes la disposición impugnada habilita para recopilar datos personales relativos a las opiniones políticas de las personas en el marco de sus actividades electorales--- el desempeño de una función que solo a él compete en materia de derechos fundamentales en virtud de la reserva de ley del art. 53.1 CE, esto es, establecer claramente sus límites y su regulación.» (FJ 7 la STC 76/2019, de 22 de mayo). Así pues, cuando el art. 9.2.g RGPD dispone que el tratamiento de datos sensibles puede ser lícito cuando sea necesario por razones de un interés público esencial, añadiendo que debe ser proporcional al objetivo perse- guido así como respetar lo esencial el derecho a la protección de datos, debe entenderse que el legislador debe determinar cuál es este interés público, así como el régimen jurídico de tratamiento de dichos datos, de modo que se respete el núcleo del derecho fundamental a la protección de datos al que se refiere el precepto y la jurisprudencia del TC. Por último, como se ha visto en este ejemplo, es de interés señalar que el concepto de interés público, de acuerdo con el RGPD, puede constituir una causa habilitante para el uso de datos especialmente sensibles (etnia, ideo- logía, religión, salud, etc.). En este sentido, las autoridades deben ponderar los fines de interés general en relación con el uso de los datos privados, res- petando el principio de proporcionalidad. Entre estos datos sensibles, también consta el tratamiento de datos biomé- tricos, como el reconocimiento facial. En el caso del procedimiento sancio- nador N.º: PS/00120/2021 de la AEPD, una conocida empresa dedicada al sector alimentario instaló cámaras en la entrada de sus establecimientos, con el objeto de cotejar los patrones faciales de los clientes contra una base de datos. Dicha base de datos contenía una serie de personas condenadas en sede penal por hurto o robo con violencia, por acciones cometidas en sus propios establecimientos. En este caso, la empresa se escudaba en el interés público emanante del mandato erga omnes de cumplimiento de las resoluciones judiciales, tal como dispone el art. 118 CE. Sin embargo, en consonancia con lo expuesto hasta ahora, el interés público requiere de una previsión legal concreta, otorgando su ejecución a un responsable del tratamiento específico, con las potestades oportunas, y con los límites contemplados en la ley. Por ello, los particulares o empresas no pueden arrogarse la potestad de invocar el interés público sin que exista la previsión desarrollada bajo el principio de reserva de ley. Prevalencia de intereses o derechos Para finalizar esta sección referente a las bases habilitantes en materia de protección de datos, en lo concerniente al concepto de interés o derecho pre- valente, como se vio en el primer tema referente al régimen jurídico-consti- tucional de la protección de datos personales, a menudo diferentes intereses y derechos entran en colisión, siendo trabajo del poder judicial decidir qué interés o derecho debe prevalecer. En este caso, una prevalencia de uno u otro puede legitimar el tratamiento de datos personales. Por ejemplo, imaginemos el caso inverso al estudiado en la Sentencia del Tribunal de Justicia (Gran Sala) de 13 de mayo de 2014, Goo- gle Spain, S.L. y Google Inc. contra Agencia Española de Protección de Datos (AEPD) y Mario Costeja González. Imaginemos, pues, un supuesto en el que el recurrente pretende ejercer el derecho al olvido, sin embargo, es un moroso de una deuda millonaria de Hacienda del ejercicio del año anterior. En este esce- nario, es razonable pensar que el argumento de la pérdida de relevancia pública sea inoperante, por lo que el derecho al honor del recurrente no deba prevalecer y\. por el contrario, sí deba hacerlo el derecho a la libertad de información. No obstante, a menudo la ponderación de intereses, en escenarios en los que entran en juego los derechos fundamentales, es llevada a cabo por auto- ridades de control. En este sentido, podría cuestionarse que estos órganos, que no dejan de ser órganos administrativos, entren en ponderaciones que deberían estar reservadas al poder judicial ex. art. 117 CE. Derechos de los individuos En esta sección desglosamos los diferentes derechos subjetivos que con- templa el RGPD. Algunos son los clásicos derechos ARCO, pero otros se introdujeron como positivización de derechos previamente reconocidos en sede jurisprudencial (por ejemplo, el derecho al olvido como sofisticación del derecho de supresión). No obstante, con la introducción de nuevos derechos en materia de pro- tección de datos, la regla nemotécnica ARCO es insuficiente para abarcar la totalidad de los derechos subjetivos en este ámbito. Así pues, ahora habría que hablar de los denominados derechos «ARSLOP». De este modo estaría- mos refiriéndonos no solo a los derechos ARCO (acceso, rectificación, can- celación y oposición), sino al conjunto de derecho subjetivos contemplados en los artículos 15 a 22 RGPD: acceso (art. 15 RGPD), rectificación (art. 16 RGPD), supresión (art. 17. RGPD), limitación (art. 18. RGPD), oposición (art. 21\. RGPD) y portabilidad (art. 20. RGPD). En visión de conjunto, tomando en consideración la legislación nacional, europea e internacional, podríamos sintetizar los derechos en materia de pro- tección de datos en este esquema: Acceso El derecho de acceso a la información es técnicamente sencillo, pero debe tenerse presente el conjunto de datos a los que hace referencia. En este sen- tido, de acuerdo con el art. 15 RGPD, el acceso englobaría no solo el dato en sí, sino también: Los fines del tratamiento. Las categorías de datos personales de que se trate. Los destinatarios o las categorías de destinatarios a los que se comu- nicaron o serán comunicados los datos personales, en particular des- tinatarios en terceros u organizaciones internacionales. El plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo. La existencia de decisiones automatizadas, incluida la elaboración de perfiles. Rectificación De acuerdo con el art. 16 RGPD, el interesado tendrá derecho a obtener la rectificación de los datos personales inexactos que le conciernan. No hay que confundir este derecho con el homónimo derecho a rectifica- ción que contempla la Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación, en virtud del cual toda persona natural o jurídica, tiene derecho a rectificar la información difundida, por cualquier medio de comunicación social, de hechos que le aluden, que considere inexactos y cuya divulgación pueda causarle perjuicio (art. 1). Supresión y derecho al olvido Según dispone el art. 17 RGPD, el interesado tendrá derecho a obtener la supresión de los datos personales que le conciernan cuando concurra alguno de los siguientes supuestos: Los datos personales ya no son necesarios en relación con los fines para los que fueron recogidos. El interesado ha retirado el consentimiento en que se basa el trata- miento. El interesado se opone al tratamiento con arreglo al artículo 21. Los datos personales han sido tratados ilícitamente. Los datos personales deben suprimirse para el cumplimiento de una obligación legal. Los datos personales se han obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1 (menores de dieciséis años). Por otra parte, se establecen una serie de límites al ejercicio del derecho de supresión de datos que, por extensión, se hacen aplicables al derecho al olvido. En los siguientes supuestos, por prevalencia de bienes jurídicos en juego, deben prevalecer estos y no el derecho del recurrente a la cancelación de los datos: Cuando se ejerce el derecho a la libertad de expresión e información (en el caso Google Mario Costeja no fue el caso por pérdida de rele- vancia pública de la información publicada e indexada). Para el cumplimiento de una obligación legal que requiera el trata- miento de datos impuesta por el Derecho de la Unión o de los Estados miembros. Por razones de interés público en el ámbito de la salud pública (sobre ello ya nos hemos pronunciado con detalle más arriba). Con fines de archivo en interés público. Para el ejercicio o la defensa de reclamaciones. Así pues, el clásico derecho de cancelación ha mutado en el actual dere- cho de supresión, que se hace extensivo al ya mencionado derecho al olvido como respuesta primero jurisprudencial, y después incorporada en los cuer- pos legislativos citados, a lo que la doctrina ha llamado «la perennidad de la información en Internet» (Simón Castellano, 2015), esto es, la hipermnesia o la capacidad de recordarlo todo de la red. Por ello, Google y otros buscadores de Internet han publicado formula- rios específicos para ejercer este derecho. Es curioso, sin embargo, que en el mismo se indique que cuando Google reciba una solicitud, la empresa «busca el equilibrio entre el derecho a la privacidad de la persona que la ha enviado y el derecho del público general a tener acceso a esa información, así como el derecho de otros usuarios a distribuirla». De nuevo nos encon- tramos con ponderación de derechos llevada a cabo por órganos (o, en este caso, una empresa) cuya opinión sobre la mencionada ponderación no debe- ría surtir efectos jurídicos sobre los interesados. Limitación del tratamiento El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes: El interesado impugna la exactitud de los datos personales. El tratamiento es ilícito y el interesado se opone a la supresión de los datos personales y solicita en su lugar la limitación de su uso; El responsable ya no necesita los datos personales para los fines del tratamiento, pero el interesado los necesita para la formulación, el ejercicio o la defensa de reclamaciones; El interesado se ha opuesto al tratamiento en virtud del artículo 21, apartado 1. Portabilidad de los datos Este derecho, contemplado en el art. 20 RGPD, hace referencia a la posibi- lidad, por parte del interesado, de solicitar que los datos personales almace- nados en un fichero, y en formato estructurado, sean exportables y se trans- mitan a otro responsable del tratamiento. Se entiende que debe concurrir el consentimiento del interesado y que la transmisión de datos puede hacerse por medios automatizados. Derecho de oposición y decisiones individuales automatizadas, incluida la elaboración de perfiles Según dispone el art. 21 RGPD, el interesado tendrá derecho a opo- nerse a que los datos personales que le conciernan sean objeto de un tra- tamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), es decir, el tratamiento necesario para el cumplimiento de una misión rea- lizada en interés público, y el tratamiento necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero. Por otra parte, el derecho de oposición referente a la elaboración de per- files es de vital importancia debida a la proliferación de estas técnicas por parte de las empresas prestadoras de servicios (Amazon, YouTube, Netflix, entidades financieras, entidades de seguros, etc.), ya que precisamente su volumen de negocio depende de la calidad con la que realicen estos perfiles de analítica predictiva (Business Intelligence Machine learning, Deep learning, etc.) con el objeto de maximizar los beneficios. En este sentido, el RGPD configura un derecho específico a oponerse a este tratamiento cuando la decisión automatizada tenga efectos jurídicos sobre el interesado, por lo que la invocación de este debe tener como con- secuencia inmediata la paralización de elaboración de perfiles en base a la información que el usuario deja en la red o en una plataforma digital dada. En esta línea, las directrices del grupo de trabajo del art. 29 en esta mate- ria (Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679) mencionan como ejemplos de decisiones automatizadas que puedan tener efectos jurídicos sobre el interesado las siguientes: La cancelación de un contrato. El derecho o la denegación de una prestación concedida por la ley, como la prestación por hijos o la ayuda a la vivienda. La denegación de admisión en un país o la denegación de ciudadanía. Decisiones automatizadas en el sector público y su colisión con el principio de transparencia en la administración Llegados a este punto, debemos hacer referencia al debate sobre las decisio- nes automatizadas que se producen en el sector público. En este sentido, uno de los impactos más relevantes de la ciencia de datos y la informática en el sector público es el fenómeno de las resoluciones administrativas automatizadas. Cuando hablamos de resoluciones administrativas automatizadas, nos refe- rimos a la posibilidad de que los actos de la administración pública, esto es, los actos administrativos, sean resueltos mediante algoritmos de programación, en sustitución del método clásico consistente en que sea una persona física investida de potestad para declarar los actos de voluntad del sector público. No obstante, para ser más precisos, cabe subrayar que, aunque los algorit- mos resuelvan el procedimiento, seguirá siendo el órgano titular de la potestad administrativa en cuestión el que firme, esto es, resuelva el procedimiento. En el ámbito tributario, esta vinculación del acto administrativo automatizado al órgano competente está prevista expresamente en el artículo 96.3 LGT, el cual dispone que han de garantizarse la identificación de dichos órganos cuando la decisión haya sido fruto de la aplicación de este tipo de técnicas informáticas. Concretamente, la respuesta a la pregunta sobre qué debe considerarse una decisión administrativa automatizada la encontramos en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (en adelante, LRJAP). De acuerdo con el artículo 41.1 de esta fuente legal, se considera como tal «cual- quier acto o actuación realizada íntegramente a través de medios electrónicos por una Administración Pública en el marco de un procedimiento administra- tivo y en la que no haya intervenido de forma directa un empleado público». Este fenómeno, que en el campo judicial se encuentra en un estado muy incipiente y es objeto de debates interesantes, en el ámbito administrativo es ya una realidad consolidada. Es decir, no pertenece al ámbito de la realidad (aún) una decisión jurisdiccional plenamente automatizada, pero sí una deci- sión administrativa automatizada. Sí que ha habido juicios, sin embargo, de aplicación de herramientas algo- rítmicas automatizadas para la ayuda en la toma de decisiones de carácter jurisdiccional. En este sentido, puede consultarse el caso Wisconsin v. Loo- mis, en el que se utilizó el informe generado por el software IAJVR COMPAS para determinar la probabilidad de que el investigado reincidiera en compor- tamientos antijurídicos. En este asunto, el Tribunal Supremo de Wisconsin consideró que no se habían vulnerado las garantías constitucionales del pro- ceso penal (presunción de inocencia, legalidad penal, licitud de las pruebas, etc.), ya que estas herramientas habrían operado como un complemento heurístico más para orientar el sentido final de la decisión judicial. Para más información sobre este caso, puede consultarse la obra Justicia cautelar e inteligencia artificial, del Dr. Pere Simón, referenciada en la bibliografía. ¿Qué importancia tiene esto y cómo se traduce en la esfera de los dere- chos del interesado en un procedimiento administrativo? Pues bien, lo pri- mero que debemos señalar es la afectación a los derechos del ciudadano. La doctrina ha señalado que esta forma de proceder puede entrar en colisión. con principios constitucionales y derechos legales de tal importancia como la seguridad jurídica, la transparencia, el deber de motivación, la intimidad, la igualdad y la protección de datos personales. Aquí nos centraremos en la transparencia y el deber de motivación. Por lo que respecta a la transparencia, se configura como un mandato constitucio- nal, contemplado en el artículo 105 CE, que a su vez está previsto y desarro- llado en la ley, en concreto el artículo 5 y siguientes de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno. De acuerdo con este derecho, los ciudadanos deben poder acceder a la infor- mación sujeta a los principios de transparencia. Ello se compone por datos públi- cos tales como la información institucional, organizativa, de planificación, de relevancia jurídica (instrucciones, acuerdos, informes, resoluciones, memorias, anteproyectos de ley, etc.), datos económicos, estadísticos, presupuestarios, etc. No obstante, este derecho de acceso a la información, de acuerdo con el artículo 14 de la citada fuente legal, tiene una serie de límites (seguridad nacional y pública, defensa, investigación judicial, etc.) entre los cuales se encuentra el secreto profesional y la propiedad intelectual, como analizare- mos a continuación en un caso concreto. Por otra parte, cuando hablamos del deber de motivación, nos referimos a la obligación legal que tienen las administraciones públicas de dar cuenta, con relación sucinta a los hechos y fundamentos de derechos, a sus resoluciones. Estas resoluciones se entienden insertas en un procedimiento administrativo que, en una medida u otra, afecta los derechos del interesado. Ejemplos de procedimientos administrativos son resoluciones tan diversas como, entre otras: La concesión de una licencia municipal para que un bar utilice el dominio público. La concesión de la tarjeta de residencia de familiar de la Unión Euro- pea por parte de Extranjería. La imposición de una multa por infracción grave de la Ley de Turismo. La concesión de una indemnización por haber sufrido daños en la vía pública (responsabilidad patrimonial de las administraciones públicas). El reconocimiento de trienios funcionariales. La concesión de una plaza de funcionario. La adjudicación de un contrato público. En este sentido, decimos que el deber de motivación es una obligación legal porque está contemplada en el artículo 35 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones públicas. De acuerdo con este precepto, deben motivarse los siguientes actos: Los actos que limiten derechos subjetivos o intereses legítimos. Los actos que resuelvan procedimientos de revisión de oficio de dis- posiciones o actos administrativos, recursos administrativos y proce- dimientos de arbitraje y los que declaren su inadmisión. Los actos que se separen del criterio seguido en actuaciones prece- dentes o del dictamen de órganos consultivos. Los acuerdos de suspensión de actos, cualquiera que sea el motivo de esta, así como la adopción de medidas provisionales previstas en el artículo 56. Los acuerdos de aplicación de la tramitación de urgencia, de amplia- ción de plazos y de realización de actuaciones complementarias. Los actos que rechacen pruebas propuestas por los interesados. Los actos que acuerden la terminación del procedimiento por la impo- sibilidad material de continuarlo por causas sobrevenidas, así como los que acuerden el desistimiento por la Administración en procedi- mientos iniciados de oficio. Los actos que se dicten en el ejercicio de potestades discrecionales, así como Los que deban serlo en virtud de disposición legal o reglamentaria expresa. Así pues, la cuestión que nos ocupa es en qué medida un acto adminis- trativo pueda ser fruto, parcial o total, de una decisión basada en inteligen- cia artificial. Los problemas son múltiples puesto que, aunque se respete el deber de motivación, podría vulnerarse el de transparencia. Por ejemplo, el algoritmo podría respetar las potestades regladas, es decir, las razones que legalmente deben fundamentar la decisión, pero el hecho de que haya sido decidido por la inteligencia artificial puede poner en tensión el deber de transparencia. Llegados a este punto, cabe señalar que la propia LRJSP, en su artículo 41.2, establece que «en caso de actuación administrativa automatizada deberá establecerse previamente el órgano u órganos competentes, según los casos, para la definición de las especificaciones, programación, manteni- miento, supervisión y control de calidad y, en su caso, auditoría del sistema de información y de su código fuente. Asimismo, se indicará el órgano que debe ser considerado responsable a efectos de impugnación». Se entiende pues que el órgano responsable debe informar al programa- dor de los elementos normativos que deben intervenir en la programación de las resoluciones. No obstante, esto no garantiza de por sí que se respete el principio de transparencia, ya que, aunque el algoritmo se base en los hechos y funda- mentos jurídicos que deban aplicarse para resolver el caso, puede darse la situación en la que el ciudadano no sepa cuáles son los motivos, o si real- mente, en caso de acompañarse con la resolución, son los que se han utili- zado para fundamentar la decisión. A este respecto, ya ha habido casos en los que se ha solicitado el acceso al algoritmo y la administración pública lo ha denegado parcialmente. Por ejemplo, la Fundación Ciudadana Civio ha demandado a la administración ante la jurisdicción contencioso-administrativa al habérsele denegado el acceso a los documentos y códigos fuente utilizados en un procedimiento de concesión de bonos sociales. El programa utilizado, BOSCO, es utilizado por las empresas eléctricas para decidir quién puede ser beneficiario del bono social eléctrico. Es decir, la situa- ción de beneficiario de las ayudas se concede por un algoritmo de un programa de titularidad pública. En este caso, el Consejo de Transparencia y Buen Gobierno estimó parcialmente sus peticiones, pero denegó el acceso al código fuente. En el momento de redacción de este material el caso está pendiente de resolución en juicio. El escrito de demanda puede consultarse en la página web de CIVIO, así como el escrito de defensa de la abogacía del Estado. Entre una de las razones que alega la parte defensora, se indica lo siguiente: Entraría en juego el derecho a la propiedad intelectual como límite legal a la publicación de los algoritmos. El algoritmo ya es público considerando que se explica de forma didác- tica en la web https://www.bonosocial.gob.es y se ha programado de acuerdo con lo dispuesto en la Orden ETU/943/2017, de 6 de octubre, por la que se desarrolla el Real Decreto 897/2017, de 6 de octubre, por el que se regula la figura del consumidor vulnerable. Se han facilitado otros documentos con mayor detalle técnico y funcional. Se ha facilitado un mecanismo que permite averiguar si el algoritmo funciona correctamente, introduciendo casos reales y viendo cómo la resolución se adecúa a lo dispuesto en el reglamento citado. Como puede observarse, la justicia ahora deberá decidir si las acciones que la abogacía del Estado expone son suficientes para cumplir los requisi- tos de transparencia y motivación que contempla la ley. La explicación del funcionamiento del algoritmo de forma didáctica, con lenguaje natural, acce- sible y comprensible por la ciudadanía no especializada en programación e inteligencia artificial, parece ser un buen paso hacia la consagración del principio de transparencia. En todo caso, más allá de quién tenga la razón, aquello que nos interesa destacar es que la implementación de algoritmos para la toma de decisiones que reconozcan o limiten derechos seguirá siendo objeto de debate, tanto en los círculos académicos como en los tribunales. Por ello, los profesionales del derecho deben estar atentos a los cambios que las tecnologías de la informa- ción imponen en la esfera de los derechos de los ciudadanos. 6.2.2. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Perso- nales y garantía de los derechos digitales introdujo el Título X dedicado a la garantía de los derechos digitales. En este caso estamos ante una nueva generación de derechos vinculados a la sociedad de la información y la era digital, por lo que, a diferencia de otros derechos como los clásicos ARCO, ya previstos en su momento desde el Convenio 108, estos son derechos de nueva generación: Como puede observarse, se ha producido una suerte de inflación en mate- ria de derechos, lo que puede hacer despertar las sospechas sobre su régi- men de tutela y eficacia, pues si bien se reconocen derechos consolidados en la práctica como el derecho al olvido, se introducen otros como el derecho a la educación digital o el derecho universal a internet, que se configura más como principios rectores que como derechos subjetivos. También cabe señalar que estos artículos fueron añadidos por vía de enmienda en el Congreso, y no siempre su objeto de tutela es coincidente con el régimen jurídico de protección de datos stricto sensu. Por ello, se puede cuestionar si, tanto desde la perspectiva formal como material, una ley cuyo objeto es la adaptación del ordenamiento jurídico nacional al RGPD, debe incluir tamaña misión. No obstante, su inclusión en una norma legal de rango orgánico implica cierto avance en el reconocimiento de la faceta multidimensional de los dere- chos subjetivos vinculados a la protección de datos, honor, intimidad perso- nal y propia imagen. Régimen sancionador En este apartado vamos a estudiar el régimen sancionador en materia de protección de datos personales llevado a cabo por las autoridades de control a las que hemos hecho referencia anteriormente. En concreto, las normas que contemplan las sanciones en esta materia se encuentran en el Título IX de la LOPDGDG, como desarrollo del art. 83 RGPD relativo a las condiciones generales para la imposición de multas administrativas. En primer lugar, los sujetos responsables están contemplados en el art. 70 LOPDGDG, entre los que se encuentran los responsables de los tratamientos; los encargados de los tratamientos; los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea; las entidades de certificación; y por último las entidades acredita- das de supervisión de los códigos de conducta. En segundo lugar, constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del RGPD, así como los contemplados en la propia LOPDGDG. De acuerdo con este precepto, las infracciones se clasifican en muy graves (art. 72 LOPDGDG), graves (art. 73 LOPDGDG), y leves (art. 74 LOPDGDG). Para el conocimiento avanzado de todas ellas, nos remitimos a los pre- ceptos citados. Para los propósitos del desarrollo de este tema, baste con subrayar que constituyen infracciones muy graves: a\) El tratamiento de datos personales vulnerando los principios que hemos desarrollado anteriormente; b\) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud estudiadas en esos materiales, incluyendo la validez del consentimiento. 6.2.3. Régimen jurídico de las telecomunicaciones y la contratación de servicios de la sociedad de la información La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informa- ción y de comercio electrónico traspuso en su momento la Directiva 2000/31/ CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la infor- mación. El objeto de esta norma, de acuerdo con su art. 1, es la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, en lo referente a las obligaciones de los prestadores de servicios incluidos los que actúan como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, entre otros. Por servicio de la sociedad de la información se entiende cualquier servi- cio prestado normalmente a título oneroso, a distancia, mediante un equipo electrónico para el tratamiento (incluida la compresión digital) y el almace- namiento de datos. En esta línea, y de acuerdo con la STJUE C-291/13, asunto Papasavvas, cabe señalar que también se considerarán como onerosos aquellos servicios que ofrecen información en línea y por los cuales «el prestador del servicio obtiene su remuneración, no del destinatario, sino de los ingresos generados por la publicidad que figura en una página de Internet». Asimismo, esta ley establece que las cookies son lícitas siempre que con- curra el consentimiento del interesado después de que se les haya facilitado información clara y completa sobre su utilización, y de forma más concreta, sobre los fines del tratamiento de los datos. Respecto a los contratos celebrados por vía electrónica, la norma esta- blece que, si firmados electrónicamente se estará a lo establecido en el artí- culo 3 de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

TEMA 6: Introducción al Derecho a la Protección de Datos PDF

Document Details

Tags

Related

Summary

Full Transcript