03_PROTECCION_DATOS_PERSONALES.pdf

Protección de datos personales Nivel 4 - Grupo Administrativo PROMOCIÓN VERTICAL: PROCESO SELECTIVO PARA PROVEER PLAZAS EN EL NIVEL 4 DEL GRUPO ADMINISTRATIVO Protección de datos personales División de Formación, Desarrollo y Comunicación Interna Banco de España C/ Alcalá, 48 28004 Madrid © Banco de España. Todos los derechos reservados Protección de datos personales Recursos pedagógicos incluidos en el material didáctico Instrumentos financieros Ejemplos: UNIDAD DIDÁCTICA 2 Te ayudan a comprender los conceptos teóricos que se han expuesto en los contenidos. uu Ejemplo: En una compraventa de mercaderías, una empresa contabilizará en clientes y la otra en proveedores. Al adquirir una emisión de bonos de una empresa eléctrica, el adquirente contabiliza un activo y el emisor un pasivo, por estos bonos puestos en circulación. La partida doble es un sistema de contabilidad que consiste en anotar dos veces la cuantía de cada hecho contable, es decir: cada hecho contable ha de tener, como mínimo, una anotación en el Debe de una cuenta y una anotación en el Haber de otra cuenta. vv Práctica (5) Una empresa tiene unas existencias finales de mercaderías valoradas en 20.000 euros. Su valor de mercado son 18.000 euros. Se pide: Contabilizar el deterioro de valor Solución: Dotación del deterioro: Núm. IMPORTES CUENTA Prácticas: Operación DEBE HABER N.º Nombre 1 2.000 693 Pérdidas por deterioro de mercaderías Permiten trabajar y consolidar los 2.000 390 Deterioro de valor de mercaderías contenidos a medida que se van desarrollando y aseguran un aprendi- zaje progresivo. vv Actividad práctica resuelta La empresa V tiene unas obligaciones a 5 años contabilizadas por valor de 25.000. Por una insolvencia del deudor, el valor actual de los flujos de caja a cobrar es de 24.500. Se pide: Contabilizar el deterioro. Solución: Deterioro de valor de obligaciones: Núm. IMPORTES CUENTA Operación DEBE HABER N.º Nombre Pérdidas por deterioro de participaciones 1 500 696 y valores representativos de deuda. Deterioro de valor de valores 1 500 297 representativos de deuda. 2 División de Formación y Selección - PV Nivel 4 - Contabilidad Financiera II - Unidad 2 2 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales Protección de datos personales Instrumentos financieros UNIDAD DIDÁCTICA 2 Recuerda: Recuerda Ofrecen un recuerdo de los contenidos que ya se Las inversiones financieras en la empresa son de dos tipos: a corto plazo y a largo. Sus finalidades son la obtención de rentabilidad por su manteni- han visto en apartados miento o de beneficios por su enajenación. anteriores. La prueba de deterioro consiste en comparar el valor en libros con el valor recuperable. Ideas fuerza: Contienen definiciones, preguntas o ideas que son importantes. Prueba de autocomprobación 1 Las obligaciones y deudas con terceras personas se recogen en: Pruebas de autocomprobación: a) El neto patrimonial. Actividades finales agrupadas que te b) El pasivo. permiten comprobar el aprendizaje c) Los gastos. adquirido y si necesitas repasar alguno de los apartados. 2 En una cuenta perteneciente al pasivo: a) Su saldo siempre será deudor. b) Los aumentos se contabilizan en el Debe. c) Los aumentos se contabilizan en el Haber. Síntesis Los elementos de un buen servicio son el cumplimiento adecuado de la tarea y la calidad en la relación con el usuario. Síntesis: Organización de todas las ideas clave de la unidad. Monetarios Primarios Organizados - Nueva emisión De capitales - Crédito Secundarios No Organizados - Valores - Activos ya emitidos División de Formación y Selección - PV Nivel 4 - Contabilidad Financiera II - Unidad 2 3 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 3 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 Unidad Normativa de Protección de Datos de Carácter Personal 1 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 5 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 Índice Unidad 1 Normativa de Protección de Datos de Carácter Personal Introducción11 Objetivos13 1 Ámbito de aplicación y principios 15 1.1 Legislación 15 1.2 El RGPD y su aplicación directa 17 1.3 Objeto y ámbito de aplicación 18 1.3.1 Objeto18 1.3.2 Ámbito de aplicación material18 1.3.3 Ámbito de aplicación territorial18 1.4 Datos personales 19 1.4.1 Seudonimización Vs anonimización19 1.4.2 Datos genéticos y biométricos20 1.5 Principios relativos al tratamiento de datos personales 21 1.6 El Consentimiento 23 1.7 Licitud en el tratamiento 25 1.7.1 Legitimidad en el tratamiento25 1.7.2 Datos especialmente protegidos 26 1.7.3 Referencias especiales en la licitud del tratamiento27 2 Derechos del interesado 29 2.1 Cuestiones generales 29 2.2 Derecho a la información 30 2.3 Derecho de acceso 34 2.4 Derecho de rectificación 35 2.5 Derecho de supresión 35 2.6 Derecho de limitación del tratamiento 36 2.7 Derecho de portabilidad 37 2.8 Derecho de oposición 38 2.9 Derecho a limitar las decisiones individuales automatizadas 39 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 7 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 3 Accountability o principio de Responsabilidad Proactiva 40 3.1 Principio de Accountability o de Responsabilidad Proactiva 40 3.1.1 Enfoque de aproximación al Riesgo41 3.2 Medidas de Responsabilidad Proactiva 43 3.2.1 Registro de actividades43 3.2.2 Privacidad por defecto y privacidad por diseño45 3.2.3 Medidas de seguridad técnicas y organizativas 46 3.2.4 Brechas de seguridad47 3.2.5 Evaluación de impacto49 3.2.6 Autorización previa o consultas previas con la autoridad de control50 3.2.7 El órgano de control y el delegado de protección de datos51 3.2.8 Códigos de conducta y entidades de certificación51 4 Terceros intervinientes y los códigos de conducta y certificación 52 4.1 Corresponsables y representantes no establecidos en la UE 52 4.2 El encargado de tratamiento 54 4.3 El delegado de protección de datos 55 4.4 Códigos de conducta y entidades de certificación 59 5 Transferencias internacionales, las autoridades de control y el procedimiento sancionador 62 5.1 Transferencias internacionales de datos 62 5.2 Las autoridades de control 65 5.3 El procedimiento sancionador 66 6 La protección de datos en el Banco de España 71 6.1 Introducción 71 6.2 Normativa aplicable en el Banco de España 71 6.3 Funciones y obligaciones del personal del Banco de España 72 6.3.1 Responsable del tratamiento 72 6.3.2 Responsable funcional72 6.3.3 Delegado de protección de datos 72 6.3.4 Unidad de Riesgos y Seguridad de la Información73 6.3.5 Secreto profesional y deber de confidencialidad 73 6.4 Licitud en el tratamiento de los datos en el Banco de España 74 6.5 Ejercicio de derechos en el Banco de España 74 8 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 6.5.1 Las cláusulas informativas y de consentimiento expreso 74 6.5.2 Procedimiento para la solicitud del ejercicio de derechos 75 6.6 Medidas de Responsabilidad Proactiva en el Banco de España y aproximación al riesgo 76 6.6.1 El registro de actividades de tratamiento76 6.6.2 Privacidad por defecto y privacidad por diseño 76 6.6.3 Medidas de seguridad en el Banco de España77 6.6.4 Notificación de brechas de seguridad en el Banco de España78 6.6.5 El Análisis de riesgos y la Evaluación de impacto78 6.7 Encargado de tratamiento 79 6.8 Formación 80 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 9 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 Introducción El derecho a la protección de datos personales deriva directamente del derecho fundamental a la intimidad, recogido en la Constitución Española. La legislación española, sobre protección de datos de carácter personal, garantiza y protege a los ciudadanos sus derechos fundamentales, en lo concer- niente al tratamiento de datos personales, especialmente de su honor e intimidad personal y familiar. Asimismo, el marco legislativo europeo también reconoce este derecho y obliga a todos los Estados Miembros a garantizarlo a sus ciudadanos. En concreto se ha aprobado el Reglamento (UE) 2016/ 679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), de aplicación directa en toda la Unión Europea desde el 25 de mayo de 2018. La normativa española de protección de datos estaba integrada fundamentalmente por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) y el RD 1720 de 21 de diciembre Reglamento desarrollo de la LOPD (en adelante RLOPD), sin embargo, tras la aprobación del RGPD se ha procedido a modificar la normativa de protección de datos española a través de la Ley Orgánica 3/2018 de 5 de diciembre, de protección de datos de carácter personal y garantías de derechos digitales (en adelante LOPDGDD) quedando derogada la antigua LOPD. A todos los ciudadanos nos compete conocer y respetar la normativa de protección de datos. División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 11 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 Objetivos Al finalizar esta unidad didáctica los alumnos serán capaces de: Conocer el contenido esencial de la legislación que afecta al territorio español y a la Unión Europea en materia de Protección de Datos de Carácter Personal. Identificar el grado de responsabilidad, los deberes y obligaciones de las personas impli- cadas e intervinientes en el proceso de tratamiento de los datos de carácter personal, Establecer las medidas técnicas y organizativas que son necesarias implantar para que los tratamientos de datos se realicen conformes a la normativa de protección de datos. Conocer los derechos de los que disponemos los ciudadanos sobre el tratamiento que se realice sobre nuestros datos personales. Conocer las especificaciones adoptadas por el Banco de España en cuanto al cumplimiento de la ley. División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 13 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 1 Ámbito de aplicación y principios 1.1 Legislación El derecho a la protección de datos personales deriva directamente del derecho fundamental a la intimidad, recogido en el artículo 18.4 de la Constitución Española, y reconocido por el Tribunal Constitucional en la STC 292/2000. El fundamento quinto de dicha sentencia confirma la interpretación conforme a la cual el art. 18.4 de la CE incorpora un nuevo derecho fundamental a la protección de datos, que atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos. Siguiendo la sentencia 292/2000 en su fundamento jurídico sexto, el objeto de protección del derecho a la protección de datos alcanza «cualquier tipo de dato personal, sea o no íntimo, cuyo conoci- miento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es solo la intimidad individual, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que, por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garan- tiza su derecho a la Protección de datos». Además continua la sentencia «los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo». Estamos por tanto ante un derecho fundamental recogido por nuestra Constitución Española y recono- cido por el Tribunal Constitucional, desarrollado por el Reglamento Europeo General de Protección de Datos y por la reciente Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales. Asimismo, el marco legislativo europeo también reconoce este derecho a la protección de datos y obliga a todos los Estados miembros a garantizarlo a sus ciudadanos. El artículo 8, de la Carta de los Derechos Fundamentales de la Unión Europea en sus apartados 1 y 2 establece: 1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consen- timiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. Por otro lado, el artículo 16 del Tratado de Funcionamiento de la Unión Europea en sus apartados 1 y 2 establece: 1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. 2. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 15 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas normas estará sometido al control de autoridades independientes. Se trata por tanto de un derecho que tiene toda persona, sin importar la nacionalidad o residencia, a la protección de los datos de carácter personal que la conciernan. Por su parte la Unión Europea ha desarrollado este derecho a la protección de datos a través de diversas directivas1 como la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. A través de esta, se pretendió armonizar la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal, y garantizar la libre circulación de estos datos entre los Estados miembros. Sin embargo, la transposición por los Estados miembros de la Directiva 95/46/CE en el territorio de la Unión se hizo de manera fragmentada, con diferencias en el nivel de protección de los derechos y libertades de las personas físicas, y en particular del derecho a la protección de los datos de carácter personal, impidiendo la libre circulación de los datos de carácter personal en la Unión. Estas diferencias, han constituido un obstáculo al ejercicio de las actividades económicas dentro de la Unión, pudiendo falsear la competencia e impedir que las Autoridades competentes cumplan las funciones que les incumben en virtud del Derecho de la Unión. Estas divergencias, así como la obsolescencia tecnológica de la Directiva 95/46, provocan que en el año 2012 la Comisión Europea presente un proyecto de propuesta de Reglamento de Protección de Datos General, confirmando así la necesidad de una reforma a gran escala de la normativa de protección de datos. A raíz de las numerosas enmiendas al proyecto de la Comisión propuestas por el Parlamento Europeo en el año 2014, se pasó la propuesta al Consejo de la UE y se inició durante el año 2015 entre la Comisión, el Parlamento y el Consejo un proceso de negociación conocido como el diálogo a tres bandas, para finalmente obtener una versión final del Reglamento a finales de 2015. Finalmente, el pasado 14 de abril de 2016 el Parlamento Europeo dio el visto bueno definitivo a la normativa europea de protección de datos tras un largo proceso legislativo de más de cuatro años, que concluye con la aprobación del REGLAMENTO (UE) 2016/ 679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD). Se reforma por tanto con el RGPD la normativa de protección de datos europea, estableciendo nuevas reglas que sustituyen el antiguo marco regulatorio de la Unión Europea en materia de protec- ción de datos. La técnica legislativa del Reglamento utilizada por la UE para regular la protección de datos supone una aplicación directa del mismo a todos los Estados Miembros de la UE sin necesidad de que sea transpuesto por las normas nacionales de los Estados. Por tanto, el RGPD deroga y sustituye a la Directiva 95/46/CE reforzando el derecho de la protección de datos de la Unión Europea, que se constituye como un pilar básico de las garantías y libertades en Europa. A través del RGPD se consigue armonizar en todos los Estados miembros de la UE la dispersión normativa existente hasta entonces en materia de protección de datos. El RGPD por tanto es una norma única de aplicación directa a todos los Estados cuyo objetivo principal es otorgar un mayor control a los ciudadanos europeos sobre su información privada, y permitir una aplicación uniforme en toda la Unión Europea con el objetivo de alcanzar un nivel de protección de datos razonable en todo el territorio de la UE que evite la aplicación las diferentes normativas de cada Estado miembro. 1 Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas o directiva sobre la privacidad y las comunicaciones electrónicas y la Directiva 2006/ 24/CE sobre conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones 16 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 El derecho a la protección de datos es un derecho fundamental recogido en la Constitu- ción Española en el art.18.4 y reconocido por el Tribunal Constitucional. Se trata de un derecho a la protección de los datos de carácter personal que le conciernan. El RGPD es de aplicación directa sin necesidad de que sea transpuesto por las normas nacionales de los Estados. 1.2 El RGPD y su aplicación directa Conforme el art. 99 del RGPD el mismo entró en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea, es decir el 24 de mayo de 2016, sin embargo, solo fue directamente aplicable y obligatorio en todos sus elementos en cada Estado Miembros a partir del 25 de mayo de 2018. Por tanto, los Estados Miembros y sus respectivas Autoridades de Control, dispusieron de un periodo de 2 años para su maduración, preparación, aplicación e interpretación de los distintos derechos y obligaciones que establece. Esto supone, que las leyes nacionales de protección de datos han dejado de ser aplicables en la medida en que se opongan al contenido del Reglamento. Por otro lado, en la medida en que el RGPD establece que sus normas deben ser especificadas o restringidas por el Derecho de los Estados miembros, es necesaria la incorporación al Derecho nacional de diversos elementos del RGPD en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios. Siguiendo estas directrices marcadas por el RGPD, el Ministerio de Justicia redactó un Proyecto de Ley Orgánica de Protección de Datos en España que fue aprobado el pasado 5 de diciembre de 2018, con el objeto de modificar dicha norma en todos aquellos aspectos en los que no se oponga al contenido del Reglamento y por tanto introduzca aquellos elementos necesarios del RGPD que permita una mejor comprensión para los ciudadanos españoles. Así mismo, el RGPD está siendo estudiado por la Agencia Española de Protección de Datos en conjunto con diversas Asociaciones y Operadores sectoriales para la elaboración de guías de trabajo que faciliten la aplicación y comprensión del RGPD en España (las guías de trabajo se pueden encon- trar en www.aepd.es). Esta misma tarea la realiza el Grupo de Trabajo 29 (Actualmente Comité Europeo de Protección de Datos (CEPD, en adelante el Comité) compuesto por representantes de las autoridades nacionales de protección de datos y del Supervisor Europeo de Protección de Datos, de tal manera que deter- minados conceptos que hayan podido quedar indeterminados o de difícil interpretación podrán ser abordados y estudiados para su correcta aplicación e implantación en la Unión Europea. El RGPD entró en vigor el 24 de mayo de 2016 pero es de aplicación obligatoria para todos los Estados miembros desde el 25 de mayo de 2018. División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 17 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 1.3 Objeto y ámbito de aplicación 1.3.1 Objeto El objeto del RGPD es la protección de los derechos y libertades fundamentales de las personas físicas, y la libre circulación de datos personales en territorio de la UE, no pudiendo ser restringida ni prohibida. La protección se otorga a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, y en relación con el tratamiento de sus datos personales. 1.3.2 Ámbito de aplicación material Conforme el art. 2 del RGPD, y al igual que en la normativa española, el RGPD es aplicable tanto al tratamiento automatizado como al tratamiento manual, siempre y cuando estos últimos estén estruc- turados con arreglo a unos criterios específicos de organización. Por otro lado, también se mantienen las mismas actividades de exclusión que en la normativa española como son las actividades domésticas o las destinadas a la seguridad nacional. A este respecto merece especial atención el considerando 18 del RGPD que establece como actividades personales o domésticas la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades domésticas. Por último, aunque en el considerando 27 se excluye del ámbito de aplicación del RGPD a las personas fallecidas, también se habilita a los Estados miembros para regular el tratamiento de sus datos. Y esto es, de hecho, lo que decidió hacer el legislador español en la nueva Ley Orgánica, que en su artículo 3 establece ciertas medidas a este respecto. Así, los herederos, tutores o representantes legales, las personas vinculadas al fallecido por razones familiares o de hecho y cualquier otra persona -física o jurídica- a la que el fallecido haya autori- zado previamente para ello podrán ejercitar los derechos de acceso, rectificación o supresión de los mismos en nombre de éste. Se establece una excepción, eso sí, para el acceso a datos que el causante hubiera prohibido expresamente o cuando así lo establezca una ley, siempre que no sean de carácter patrimonial, puesto que son necesarios para continuar con los trámites de herencia. 1.3.3 Ámbito de aplicación territorial Con el fin de garantizar que las organizaciones no europeas no puedan evitar la aplicación de la normativa de protección de datos simplemente por encontrarse fuera de la UE, el RGPD introduce a través de su art. 3 una nueva disposición para considerar aplicable el mismo a las organizaciones o empresas extranjeras que ofrezcan productos o servicios a ciudadanos europeos. De esta manera se reemplaza el criterio de medios por el de servicios. Recientemente tribunales y reguladores de la Unión Europea han manifestado su apoyo a una inter- pretación amplia de la norma relativa a la aplicabilidad de la ley europea que incorpora el RGPD. De esta manera, si una organización no establecida en la UE está procesando los datos personales de ciudadanos de la UE en actividades relacionadas con la oferta de productos o servicios a dichas personas, o realizando un seguimiento, monitorización y estudio del comportamiento (como por ejemplo el seguimiento a través de Cookies) deberá cumplir plenamente con el contenido del RGPD. Será por tanto aplicable el RGPD a toda empresa extranjera que, aunque no tenga «equipos informá- ticos o medios» situados en la UE, realice una actividad real orientada de forma deliberada a personas o ciudadanos ubicados en la UE. 18 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 Finalmente, como veremos más adelante, para estos casos será necesario designar un represen- tante en la Unión Europea que atienda las cuestiones relacionadas con la Protección de Datos de los titulares de los datos o interesados europeos, así como cualquier requerimiento de las Autoridades de Control. Es aplicable a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, y en relación con el tratamiento de sus datos personales. No aplica a las Personas jurídicas, pero sí a las personas físicas que presten servicios en aquellas. Tampoco se aplica a las actividades personales o domésticas, ni a las personas fallecidas. A las personas fallecidas se les aplica solo en lo relativo al ejercicio de los derechos de acceso, rectificación y supresión por parte de las personas autorizadas. Las organizaciones no establecidas en la UE que ofrecen bienes o servicios a ciudadanos EU, o que vigilan su comportamiento se encuentran dentro del ámbito de aplicación del RGPD. 1.4 Datos personales A través del artículo 4 apartado 1 del RGPD se incluye la definición de Dato Personal como «Toda información sobre una persona física identificada o identificable». La identificación de una persona a los efectos de protección de datos se realiza cuando puede deter- minarse la identidad directa o indirectamente a través de: elementos propios de la identidad física, fisiológica, psíquica, económica y cultural o social, a los cuales añade el elemento genético; o por identificadores como por ejemplo el nombre, un número de identificación, datos de localización o un identificador en línea. Un dato personal podrá ser por tanto un identificador, un dato de localización o un nombre, siempre y cuando sean capaces de identificar a la persona (como por ejemplo el número de DNI o la dirección MAC de un ordenador o dispositivo móvil). Así mismo en el considerando 26 se establece la forma en la que se puede determinar si una persona es identificable: Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el respon- sable del tratamiento o cualquier otra persona para identificar directa o indirecta- mente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. 1.4.1 Seudonimización Vs anonimización El RGPD en su considerando 26 introduce la anonimización del dato personal, la cual queda expre- samente excluida del ámbito de aplicación del RGPD. División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 19 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 Por lo tanto, los principios de protección de datos no deben aplicarse a la informa- ción anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Regla- mento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación. A través de la definición de dato personal se introduce en la normativa de protección de datos una tercera categoría de dato personal ubicada entre el dato personal y la anonimización. Esta categoría nueva es denomina por el RGPD como la «Seudonimización», definida en el apartado 5 del art. 4 relativo a las definiciones: 5) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable; La seudonimización no implica, una completa anonimización de los datos o disociación completa sin retorno o posibilidad de reversión de los mismos, ya que existe siempre la posibilidad de identificar al interesado a través de información adicional. Esta información adicional, se encontrará separada por tanto de los datos seudonimizados, y almacenada y custodiada con las debidas medidas de seguridad para garantizar que los datos personales no se atribuyan a una determinada persona. De esta manera, se consigue un tratamiento más seguro por parte del responsable que solo autorizará a aquellas personas (trabajadores o terceros) el acceso a la identificación del interesado cuando sea necesario para el ejercicio de las funciones u obligaciones encomendadas (considerando 29). La seudonimización a diferencia de la anonimización, sí es considerada como un dato personal por el RGPD, quién a través del considerando 26 establece: Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. A través de esta técnica se pretende garantizar un mayor respeto a la privacidad de los interesados o afectados, ya que a pesar de considerarse datos personales (considerando 26) el responsable limita el acceso a determinadas personas autorizadas, y por tanto reduce el riesgo en el tratamiento (considerando 28). Además, el RGPD crea incentivos para que los responsables apliquen la técnica de seudonimización, estableciendo obligaciones menos estrictas para los responsables quienes por ejemplo podrán procesar datos con seudónimo con finalidades distintas a las establecidas en la recogida o con fines científicos, históricos o estadísticos. En este sentido comprobamos que la seudonimización puede jugar un gran papel en el contexto de la Privacidad por Diseño, considerándose como una buena práctica el uso de esta técnica para garan- tizar un tratamiento de datos más seguro. 1.4.2 Datos genéticos y biométricos El art.4 apartado 13 define Dato Genético como: «datos personales relativos a las características genéticas heredadas o adqui- ridas de una persona física que proporcionen una información única sobre la fisio- logía o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona». 20 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 El art.4 apartado 14 define Dato Biométrico como: «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos». Estas nuevas categorías de datos se incluyen entre las categorías especiales de datos (lo que en nuestra normativa se denominó como datos de nivel alto o especialmente protegidos), pero solo en aquellos supuestos en los que están siendo tratados con el fin de identificar de forma única a una persona. En este sentido conviene hacer mención al considerando 51, que establece que las fotografías no deben de considerarse como un dato sensible pese a tratarse de imágenes faciales, Adicionalmente el RGPD también realiza una definición de Dato de Salud como aquellos «datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud». Además de esta definición el considerando 35 viene a aclarar y a incluir dentro de la categoría de datos de salud a aquellos referidos a una asistencia sanitaria. Dato personal es información sobre una persona física identificada o identificable. Los datos de ubicación, identificadores digitales u otros factores relacionados con una persona física son datos personales. La probabilidad de identificación se mide con factores objetivos como costes y tiempo necesario para la identificación. Aquella información que no guarda relación con una persona física identificada o identi- ficable, se considera información anónima excluida del ámbito de aplicación del RGPD. El dato seudónimo está sujeto al RGPD, pero los requisitos aplicables son menos estrictos. El RGPD recomienda a las organizaciones aplicar la seudonimización, ya que facilita el tratamiento de datos personales con fines científicos, históricos y estadísticos o para otras finalidades distintas de las originales. Los Datos Biométricos y Genéticos se consideran como datos sensibles si son tratados con medios técnicos específicos que permita la identificación o la autenticación de forma unívoca del interesado. 1.5 Principios relativos al tratamiento de datos personales A los tradicionales principios de calidad: proporcionalidad, finalidad, exactitud y actualidad, cancelación de oficio y licitud, el RGPD incorpora través del art. 5 del RGPD, seis principios básicos. 1. Licitud, lealtad y transparencia: los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado. Queda vinculado el principio de licitud, lealtad y transparencia con la información, ya que la misma debe facilitarse de forma comprensible y accesible. Por tanto, el tratamiento no será leal y lícito si la información no está accesible o no es comprensible. 2. Minimización de datos: los datos personales deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. El RGPD no se limita por el exceso del tratamiento si no por la necesidad. Es decir, los datos personales serán adecuados División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 21 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 pertinentes y limitados a la necesidad para la que fueron recabados. Cobra especial valor el sentido de la «Necesidad» (ya establecido por la Jurisprudencia del Tribunal Constitucional), de tal manera que, si el objetivo pudiera alcanzarse sin realizar un tratamiento de datos, los mismos no deberían ser tratados. Por otro lado, dicha limitación a lo necesario debe ser evaluada desde un punto de vista cuantitativo (volumen de datos) como cualitativo (categoría de datos). Así se establece en el considerando 39: «Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios.» 3. Limitación de la finalidad: los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. A este respecto al RGPD aclara la posibilidad de realizar tratamientos de datos con finalidades distintas de las recogidas siempre y cuando se den una serie de presupuestos. Marcados por el art. 6.4 del RGPD. En este sentido el mencionado artículo establece que el responsable de tratamiento con objeto de determinar si dicho fin es compatible tendrá en cuenta una serie de cuestiones: a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto; b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento; c) la naturaleza de los datos personales, en concreto cuando se traten catego- rías especiales de datos personales, de conformidad con el artículo 9, (Categorías especiales de datos personales) o datos personales relativos a condenas e infrac- ciones penales, de conformidad con el artículo 10 (Datos relativos a condenas e infracciones); d) las posibles consecuencias para los interesados del tratamiento ulterior previsto; e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudoni- mización. 4. Exactitud: los datos personales serán exactos y, si fuera necesario, actualizados. Además se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. En este sentido, el artículo 4 de la nueva LOPDGDD aligera las cargas para el Responsable del Tratamiento. Así, no le será imputable la inexactitud de los datos cuando éste hubiera adoptado las medidas razonables para que estos datos fueran suprimidos o rectificados “sin dilación”, y siempre que los datos inexactos provengan directamente de sujetos, tales como intermediarios, otros Responsables de Tratamiento, registros públicos o el propio interesado. 5. Limitación en el plazo de conservación: los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento. Si bien en nuestra normativa ya se establece que deberán ser cance- lados cuando los datos dejen de ser útiles para la finalidad en la que fueron recabados, el RGPD además de limitar el plazo de conservación establece la obligación al responsable de incluir plazos para la supresión o revisión periódica. 6. Integridad y Confidencialidad: los datos personales deberán ser tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autori- zado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. La seguridad en el tratamiento de los datos ya no es una obligación sino es considerada como un principio del tratamiento de datos, y por tanto deberá ser adecuada a la categoría de datos que se esté tratando. Además, el deber 22 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 de mantener la confidencialidad en relación con los datos personales se asimilará al secreto profesional, debiendo contemplarse incluso una vez terminada la relación del obligado con el Encargado o el Responsable de Tratamiento. El tratamiento de datos no será lícito si la información a los interesados no es accesible y comprensible. Los datos deben ser limitados a los necesarios para la finalidad. Las obligaciones de integridad y confidencialidad se configuran como un principio. 1.6 El Consentimiento El consentimiento se regula en el art. 6 del RGPD como uno de los supuestos que legitiman el trata- miento de datos, adicionalmente en el art. 7 del RGPD se identifican las condiciones en las que debe prestarse el consentimiento y, finalmente en el art. 9 se regula el consentimiento con datos sensibles. La principal novedad que se introduce en el RGPD con respecto a nuestra antigua normativa, es que el consentimiento debe de consistir en una declaración afirmativa o una clara acción afirmativa para la prestación del mismo, no admitiéndose por tanto el consentimiento tácito. De esta manera, el consentimiento debe de ser claro de tal forma que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado. Expresamente se indica en el consi- derando 32 la posibilidad de utilizar casillas para la obtención del mismo, estableciendo que la casilla pre marcada o la inacción no constituye una forma de prestar el consentimiento. Igualmente, también se establece en dicho considerando que cuando existan varios fines para el tratamiento se deberá recabar el consentimiento de forma independiente para cada uno de ellos; las previsiones contenidas en este precepto han sido trasladadas directamente al artículo 6.1 y 2 de la LOPDGDD Por tanto, el consentimiento para el tratamiento de datos deberá ser libre, específico, informado e inequívoco, debiendo probar el responsable del tratamiento que el titular de los datos o interesado consintió el tratamiento de los mismos a través de un proceso claro, inteligible y de fácil acceso, en el que se utilizó un lenguaje claro y sencillo. En relación con el consentimiento, también debemos tener en cuenta, que no será necesario recabar de nuevo el mismo por el responsable de Tratamiento si la forma en la que se recogió el dato, es decir antes del 25 de mayo de 2018, cumple con el RGPD. Efectivamente el considerando 171 establece: «La Directiva 95/46/CE debe ser derogada por el presente Reglamento. Todo trata- miento ya iniciado en la fecha de aplicación del presente Reglamento debe ajustarse al presente Reglamento en el plazo de dos años a partir de la fecha de su entrada en vigor. Cuando el tratamiento se base en el consentimiento de confor- midad con la Directiva 95/46/CE, no es necesario que el interesado dé su consenti- miento de nuevo si la forma en que se dio el consentimiento se ajusta a las condi- ciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento.» Por otro lado, el consentimiento también será revocable, existiendo el derecho del titular del datos o interesado a retirar dicho consentimiento, el cual deberá ser igual de fácil a la hora de retirarlo que a la hora de darlo o prestarlo. A este respecto, el considerando 42 señala que el consentimiento no será libremente prestado si el interesado no puede retirar el mismo o no goza de una verdadera y libre elección. División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 23 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 «El consentimiento no debe considerarse libremente prestado cuando el intere- sado no goza de verdadera o libre elección o no puede denegar o retirar su consen- timiento sin sufrir perjuicio alguno.» Así mismo se presume también por el considerando 43 que, el consentimiento no es válido cuando la prestación del servicio sea dependiente del consentimiento, pese a que este no es necesario para dicho cumplimiento. «Para garantizar que el consentimiento se haya dado libremente, este no debe consti- tuir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, inclusive la prestación de un servicio, sea dependiente del consentimiento, pese a que este no es necesario para dicho cumplimiento.» En este sentido, el artículo 6.3 de nuestra Ley Orgánica establece, además, la prohibición de supeditar la ejecución de un contrato a la prestación del consentimiento por el interesado para que se lleven a cabo tratamientos que nada tengan que ver con la relación contractual en sí. Los menores de edad, por su parte, solo podrán otorgar su consentimiento sin la intervención de quienes estén a su cargo, en nuestro país, cuando sean mayores de catorce años. En el artículo 8 Reglamento se establece una edad mínima -por defecto- de dieciséis años para consentir el trata- miento de sus datos, pero se habilita a los Estados miembros para que se lo permitan a menores de hasta trece años. Por último, en relación con el consentimiento se establece que el mismo deberá ser explícito en el tratamiento de datos sensibles que revelen origen racial, opiniones políticas, convicción religiosa, afiliación sindical, datos genéticos, biométricos y en general los relativos a la salud, vida sexual y orientación sexual. Podemos comprobar por tanto que la LOPDGDD establece medidas de protección más estrictas para los datos que sirvan para identificar la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. En todos estos casos, el artículo 9 prohíbe que el consentimiento sea la base de legitimación para el tratamiento -por mucho que éste se dé libre, específica, informada e inequívocamente-, pero no así el resto de las contempladas en el artículo 6.1 del Reglamento. El consentimiento debe de ser una manifestación de voluntad libre. Se deben obtener tantos consentimientos como finalidades existan en el tratamiento. El consentimiento tácito o casillas pre marcadas no es válido. Tampoco es válido si la prestación del servicio depende del consentimiento. Los menores de edad solo podrán otorgar su consentimiento sin asistencia cuando sean mayores de 14 años (en España). Es necesario consentimiento explícito para datos sensibles, y queda prohibido ampararse en dicho consentimiento para los casos de tratamientos cuya finalidad principal sea identi- ficar la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico no será suficiente con el consentimiento. 24 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 1.7 Licitud en el tratamiento 1.7.1 Legitimidad en el tratamiento El RGPD en el art. 6 regula lo que nuestra normativa establecía como excepciones al consentimiento. De esta manera, comprobamos que existen otras bases legales que legitiman el tratamiento, no siendo necesario el consentimiento cuando se trate de: La ejecución de un contrato, o lo que antes se denominaba el mantenimiento de una relación negocial, laboral o administrativa. El cumplimiento de una obligación legal. La cual no necesariamente debe ser un acto legis- lativo adoptado por un parlamento, pero sí debe ser clara precisa y su aplicación previsible para los destinatarios de conformidad con la Jurisprudencia del Tribunal de Justicia de la Unión Europea (en adelante TJUE) y del Tribual Europeo de Derechos Humanos. (Considerando 41 y 45). En nuestro país, el artículo 8 de la LOPDGDD añade que solo podrá ampararse un trata- miento en normas de Derecho de la UE o con rango de Ley. El cumplimiento de intereses públicos, debiendo garantizarse que el tratamiento debe tener su base y finalidad en derecho de la UE o en el de los Estados Miembro (art. 6.3 y considerando 45). A este respecto, el RGPD establece en el apartado 2 del art. 6, que, tanto para el cumplimiento de intereses públicos como obligaciones legales, los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del RGPD. Como en el caso anterior, en España dicha misión de interés público deberá derivar de una competencia atribuida por una norma con rango de Ley. Para la protección de intereses vitales del interesado. El considerando 46 establece como ejemplos de intereses vitales y de interés público, aquellos relativos al tratamiento necesario para fines humanitarios (incluido el control de epidemias y su propagación) y situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano. Para la satisfacción de un interés legítimo. Se incorpora de forma similar a como se hacía por la directiva 95/46, y por tanto se establece el equilibrio de intereses entre el interesado y el responsable. De tal manera que existirá un interés legítimo por parte de un responsable de tratamiento, (o incluso de un responsable al que se puedan comunicar datos personales), siempre y cuando no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable (considerando 47). Por tanto, si bien el responsable puede realizar un tratamiento de datos sin recabar el consentimiento en virtud del interés legítimo, el interesado también podrá hacer prevalecer sus derechos y libertades a través del ejercicio del derecho de oposición, el cual podrá ser concedido siempre y cuando exista una circunstancia personal que haga prevalecer sus derechos y libertades al derecho del responsable. Podemos, por tanto, apreciar que de entre las situaciones que permiten el tratamiento lícito de datos sin consentimiento, la satisfacción del interés legítimo es la excepción que mayor indeterminación podrá producir en la aplicación práctica del RGPD, ya que podría recurrirse a la misma como cajón de sastre para la no obtención del consentimiento del interesado en determinadas situaciones en las que el mismo resulta de difícil o imposible obtención. Como hemos visto anteriormente, uno de los mayores cambios que introduce el RGPD con respecto a nuestra normativa de protección de datos es el de la eliminación del consentimiento tácito, siendo por tanto la satisfacción del interés legítimo, un elemento clave para considerar la existencia de un tratamiento de datos sin consentimiento del interesado. Es por esta razón, por la que el RGPD en sus considerandos 47 a 49 establece ejemplos de cuando podríamos encontramos ante un interés legítimo por parte del responsable, aclarando que siempre habrá que realizar una evaluación meticulosa y aplicar la regla de la expectativa legítima o razonable para la consideración de dicho interés legítimo (dicha regla es establecida por el Grupo de trabajo 29 en Opinión n.º 6 de 2014). División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 25 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 Así, en el considerando 47 establece la posibilidad de aplicar el interés legítimo cuando exista una relación pertinente y apropiada entre el interesado y el responsable, como por ejemplo las existentes por éste último con clientes y trabajadores, y además se espere por el interesado de forma razonable que dicho tratamiento tendrá lugar (regla de la expectativa razonable). Como ejemplos hace mención al tratamiento de datos con fines de Marketing Directo, Prevención del Fraude, transmisiones de datos dentro del Grupo Empresarial (considerando 48) y las transmisiones de datos para garantizar la seguridad de las redes (considerando 49). 1.7.2 Datos especialmente protegidos El art. 9 del RGPD establece las categorías especiales de datos, añadiendo a nuestra normativa algunas categorías específicas inexistentes como el dato genético (antes considerado dato de salud por el RLOPD) el dato biométrico, y la orientación sexual. De esta manera la categoría de datos especialmente protegidos de nuestra normativa quedaría de la siguiente forma: LOPDGDD/RGPD Ideología = Opiniones políticas. Afiliación Sindical = Afiliación Sindical. Religión = Convicciones religiosas. Creencias = Convicciones filosóficas. Salud = Datos relativos a la Salud. Origen racial o étnico = Origen racial o étnico. Vida Sexual = Vida Sexual. Adicionalmente se añade como dato especialmente protegido el Dato Genético, Dato Biométrico, ya comentados anteriormente, y el dato de Orientación sexual. Como regla general se prohíbe por tanto tratamiento de estas categorías de datos salvo que exista un consentimiento explícito por parte del interesado o concurran las siguientes circunstancias: Cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social. Protección de Intereses vitales del interesado. Tratamiento efectuado en el ámbito de fundaciones o asociaciones cuya finalidad sea política, filosófica, religiosa o sindical. Tratamiento de datos manifiestamente públicos. Tratamientos necesarios para la formulación, ejercicio o defensa de reclamaciones, o trata- mientos efectuados por tribunales en el ejercicio de su función judicial. Por razón de interés público en el ámbito de la salud pública. Es necesario con fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos. Por otro lado, se deja en manos de los Estados miembros la posibilidad de establecer reglas adicio- nales, o incluso limitaciones, respecto de dichas circunstancias que permiten realizar el tratamiento de datos sensibles. En nuestro caso, como ya se ha comentado en el apartado 1.6, el artículo 9 de la LOPDGDD prohíbe, en aras de evitar situaciones discriminatorias, el empleo del mero consentimiento como base de legitimación cuando se pretenda tratar datos relativos a la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico, debiendo recurrirse a otro de los que se contemplan en el artículo 6.1 del RGPD. 26 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 También obliga a que los datos tratados con fines de interés público o por imperativo legal se apoyen en normas de Derecho de la UE o con rango de Ley, a fin de garantizar que se trata de preceptos de suficiente entidad como para enervar, en su caso, los derechos de los interesados. 1.7.3 Referencias especiales en la licitud del tratamiento Los menores Conforme el art. 8 del RGPD se considera el consentimiento de un menor válido si es otorgado a partir de los 16 años. De tal manera que si el niño es menor de 16 años el tratamiento únicamente será lícito si es autorizado por el titular de la patria potestad o tutela sobre el niño. No obstante, lo anterior, se estable por el art. 8.1 que los Estados Miembros podrán establecer por ley una edad inferior que en todo caso no podrá sobrepasar el límite de los 13 años. Como se ha mencionado en el apartado 1.6, la LOPDGDD establece al respecto la edad del consentimiento del menor en los 14 años. Adicionalmente, el art. 6.2 establece de forma similar a como lo hacía nuestra normativa de protec- ción de datos, que el responsable deberá realizar esfuerzos razonables para verificar que el consen- timiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el menor teniendo en cuenta la tecnología disponible. Las credenciales de acceso El tratamiento de datos que no requiere identificación viene regulado en el art.11 del RGPD que señala específicamente que pueden existir supuestos en los que los datos personales no permiten identificar a una persona física y que, por tanto, en estos casos no estaría obligado el responsable a obtener información adicional para la identificación del interesado con la única finalidad de cumplir con el RGPD. Pese a no ser una obligación la de identificación del interesado en dichos supuestos, el Responsable sí estaría obligado a aceptar recibir información adicional que permita la identificación del interesado, si este último quiere ejercitar alguno de los derechos comprendidos en el RGPD entre los art. 15 a 20 (acceso, rectificación, oposición, limitación, portabilidad y decisiones automatizadas). Tratamiento de condenas e infracciones penales Conforme al art. 10 los tratamientos de datos relativos a condenas e infracciones penales solo podrán llevarse a cabo bajo supervisión de Autoridad Pública o cuando se autorice por el Derecho de la UE o el Estado miembro. En este sentido, el mismo artículo 10, pero de la LOPDGDD, admite el tratamiento de estos datos con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecu- ción de sanciones penales y los procedimientos o medidas cautelares y de seguridad que les sean conexas. También, claro, cuando sean tratados por abogados y procuradores en el ejercicio de sus funciones para con sus clientes. Conclusiones Para que exista interés legítimo es necesario realizar una evaluación meticulosa de dicho interés y que exista una expectativa razonable de dicho tratamiento por parte del intere- sado (como por ejemplo los relativos a tratamientos para la prevención del fraude, marke- ting directo, transmisión de datos en un Grupo Empresarial, seguridad en redes informá- ticas etc.) División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 27 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 Se introducen nuevas categorías de datos sensibles como los datos biométricos, los datos genéticos y la orientación sexual. Para el tratamiento de datos sensibles es necesario el consentimiento explícito, o encon- trarse entre una de las circunstancias establecidas por el art.9 (obligaciones de derecho laboral, interés vital, fundación o asociaciones políticas o religiosas, datos manifiestamente públicos, defensa de reclamaciones e interés público). El límite para el tratamiento de datos de los menores de edad se establece en los 16 años, pudiendo los Estados miembros bajar el mismo hasta el límite de los 13 años. España ha fijado en la LOPDGDD el límite en los 14 años. 28 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 2 Derechos del interesado EL RGPD regula en el Capítulo III los derechos del interesado en materia de protección de datos los cuales quedan descritos en los art. 15 a 20 y en los considerandos 58 a 71. Como veremos más adelante, el RGPD introduce nuevos derechos a los ya existentes en nuestra normativa de protección de datos (los comúnmente denominados derechos ARCO por el acrónimo de Acceso, Rectificación, Cancelación y Oposición) como son el derecho a la portabilidad del dato y el derecho a la limitación en el tratamiento. 2.1 Cuestiones generales A través del art. 12 y considerando 59 se establecen por el RGPD las condiciones generales en las que se deben de dar los derechos del interesado: 1. Transparencia: Toda la información que se dirija al interesado ha de ser concisa, de fácil acceso y a través de un lenguaje claro y sencillo. Se intenta evitar las políticas de privacidad excesivamente largas o difíciles de entender. Además, especialmente se establece que en el caso de que vayan dirigidas a menores, las mismas deberán ser no solo de lenguaje claro y sencillo, sino también entendible por éstos últimos. 2. Obligación expresa del ejercicio de Derechos: a diferencia de la Directiva, en el RGPD se establece como una obligación expresa de los responsables hacer efectivos los derechos del interesado. 3. Plazos: se establece un plazo de 1 mes para hacer efectivo el derecho del interesado, el cual puede ser prorrogado por 2 meses más en supuestos de complejidad o número de solicitudes recibidas. En cualquier caso, deberán ser informadas dichas prórrogas avisando expresa- mente al interesado de los motivos de las mismas. 4. Medios Electrónicos: se establece en el considerando 59 que el responsable debe propor- cionar medios al interesado para que las solicitudes se presenten por medios electrónicos, sobre todo cuando dicho tratamiento es realizado por dichos medios. Además, deberá darse respuesta por medios electrónicos si la solicitud es realizada a través de los mismos, salvo que el interesado manifieste lo contrario. 5. Negativa a la solicitud: en los supuestos en los que no se le conceda el ejercicio de derechos, deberá ser informado en el mismo plazo de un mes de los motivos para dicha negativa, y de la posibilidad de presentar la correspondiente reclamación ante la Autoridad competente. 6. Gratuidad: Si bien el ejercicio de los derechos deberá ser gratuito para los interesados, se establecen los supuestos en los que el responsable puede cobrar una tasa o canon razonable o incluso negarse a responder. Dichos supuestos son los casos de solicitudes abusivas de ejercicio de derechos manifiestamente infundadas o excesivas, y en particular aquellas que tengan un carácter repetitivo. 7. Información adicional: se podrá solicitar por los responsables del tratamiento información adicional para la identificación del interesado en aquellos casos en los que existan dudas razonables sobre la identidad de la persona física que realiza la solicitud. Plazo de 1 mes desde la recepción de la solicitud. Uso de medios electrónicos en las solitudes realizadas por estos medios. Políticas de privacidad, claras, sencillas y de fácil acceso. División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 29 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 2.2 Derecho a la información El derecho a la información se regula en los art. 13 y 14 así como en los considerandos 60 a 62 del RGPD. A diferencia de la Directiva la obligación de información que tenían los responsables del trata- miento de datos pasa a ser un derecho del interesado y no un deber u obligación del responsable. El derecho a ser informado y su contenido se clasifica de la siguiente manera en función del origen de la obtención del dato: I. Datos obtenidos del interesado El RGPD incrementa la información que ha de facilitarse al interesado, la cual podríamos clasifi- carla en información Fija y Variable, siendo la primera aquella información que siempre se ha de facilitar al interesado, y Variable aquella información que varía en función de que la misma sea aplicable al supuesto de hecho o al concreto responsable del tratamiento de que se trate. Información Fija: Identidad y datos de contacto del responsable y, en su caso, de su representante. La finalidad del tratamiento y la base jurídica para el tratamiento del mismo. Plazos de conservación de los datos o criterios para determinar el plazo. Posibilidad de solicitar el ejercicio de derechos: acceso, rectificación, supresión, limitación, oposición y portabilidad. El derecho a revocar el consentimiento. El derecho a presentar reclamación ante la Autoridad de Control. Información Variable: Identidad del Delegado de Protección de Datos. Interés legítimo del responsable o un tercero, en el caso de uso de dichos supuestos de tratamiento. Destinatarios en caso de que existan. Transferencias internacionales incluyendo información sobre las garantías adoptadas. Decisiones individualizadas automatizadas, en caso de que existan. La existencia de comunicaciones de datos, bien por requisito legal o contractual, y de la obligación a facilitar dichos datos y las consecuencias de la negativa a facilitarlos. La referida información no será de aplicación en los supuestos en los que interesado ya disponga de la misma. La práctica habitual en esta materia es dividir la información en varias capas siendo la primera un esquema con la información mínima imprescindible, y las siguientes (normalmente solo hay una más) desarrollan todo el contenido del deber de información. La LOPDGDD, en este sentido, establece la información básica que deberá contener esa primera capa2; a saber: La identidad del responsable. La finalidad del tratamiento. La posibilidad de ejercer los derechos que corresponden a los interesados conforme a la normativa de protección de datos. Una dirección electrónica u otro medio para acceder de forma sencilla al resto de la información. 2 Artículo 11, Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales, de 5 de diciembre. 30 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 II. Datos No obtenidos del interesado El RGPD establece la información que se deberá facilitar cuando los datos no hayan sido recabados u obtenidos del interesado. En estos casos, el responsable deberá facilitar en el plazo de 1 mes (se modifica el plazo de 3 meses de nuestra normativa) además de la información anterior la siguiente información: El origen de los datos. Las categorías de datos. Se aclara además que en estos supuestos de no obtención directa del interesado el plazo para informar es de un mes con dos excepciones: Si trata el dato para comunicarse con el afectado, se deberá informar antes o a más tardar en la primera comunicación que se dirija. Si se realiza el tratamiento para facilitárselo a un tercero, se deberá informar antes de la comunicación o a más tardar en el momento en que los datos sean comunicados por primera vez. Adicionalmente, se establece que en los casos en los que se proyecte realizar un tratamiento poste- rior para una finalidad distinta a la de la recogida y obtención del dato, se deberá informar con anterio- ridad a dicho tratamiento de toda la información recogida en dichos arts. 13 y 14. Por último, en el art. 14.5 se establecen los supuestos o excepciones respecto al deber de informa- ción al interesado: Al igual que en el supuesto de obtención directa del interesado, no será necesario informar en los casos en los que el interesado ya dispone de dicha información, ni en los siguientes supuestos: Resulte imposible o suponga un esfuerzo desproporcionado en caso de tratamiento con fines de archivo, estadísticos o de investigación científica o histórica. Se entiende por el consi- derando 62 que para que se dé esta circunstancia es necesario tener en consideración el número de interesados, la antigüedad de los casos y las garantías adoptadas. Exista una Previsión legal expresa de tratamiento o prohibición de revelación, con medidas oportunas de protección. Obligación de secreto legal o profesional. Asimismo, y también de manera análoga a como se hace para el caso de que los datos hayan sido obtenidos directamente del interesado, la LOPDGDD establece la información básica que deberá ofrecérsele al interesado, añadiendo a la anterior: Las categorías de datos objeto del tratamiento. Las fuentes de las que proceden los datos. III. Guía de la AEPD para el cumplimiento del deber de informar En relación con el deber de información la AEPD de datos ha publicado unas Guías para el cumpli- miento del deber de informar en donde destaca la división de la información por capas o niveles, de forma similar a como se venía realizando con las cookies. Así la AEPD recomienda dividir la información en dos capas, de tal forma que una primera capa se informe de la información básica y resumida del tratamiento de datos en el mismo momento y en el mismo medio en el que se recojan los datos, para a continuación remitir a un segundo nivel o segunda capa en donde se incluirá de forma detallada el resto de obligaciones de información. Esta segunda capa podrá ser un medio distinto más adecuado para su presentación y comprensión pudiendo tratarse incluso de un archivo descargable. El cuadro resumen publicado por la AEPD es el siguiente: División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 31 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 Información básica Epígrafe Información adicional (2a capa, detallada) (1a capa, resumida) Datos de contacto del Responsable Responsable Identidad del Respon- (del tratamiento) sable del Tratamiento Identidad y datos de contacto del representante Datos de contacto del Delegado de Protección de Datos Descripción ampliada de los fines del tratamiento Descripción sencilla de los Finalidad fines del tratamiento, incluso Plazos o criterios de conservación de los datos (del tratamiento) elaboración de perfiles Decisiones automatizadas, perfiles y lógica aplicada Detalle de la base jurídica del tratamiento, en los casos Legitimación de obligación legal, interés público o interés legítimo. Base jurídica del tratamiento (del tratamiento) Obligación o no de facilitar datos y conse- cuencias de no hacerlo Previsión o no de Cesiones Destinatarios o categorías de destinatarios Destinatarios (de cesiones o Previsión de Transferencias, Decisiones de adecuación, garantías, normas corpora- transferencias) o no, a terceros países tivas vinculantes o situaciones específicas aplicables Como ejercer los derechos de acceso, rectifi- cación, supresión y portabilidad de sus datos, y Derechos la limitación u oposición a su tratamiento Referencia al ejercicio (de las personas de derechos. interesadas) Derecho a retirar el consentimiento prestado Derecho a reclamar ante la Autoridad de control Información detallada del origen de los datos, incluso Procedencia Fuente de los datos (cuando si proceden de fuentes de acceso público (de los datos) no proceden del interesado) Categorías de datos que se traten De esta manera, y sin perjuicio de lo que ya hemos visto que establece la LOPDGDD, la AEPD recomienda presentar siempre los cinco primeros epígrafes («Responsable», «Finalidad», «Legitima- ción», «Destinatarios» y «Derechos»), añadiendo el epígrafe «Procedencia» únicamente cuando los datos no procedan del propio interesado. El objetivo por tanto por un lado es facilitar la tarea del Responsable del Tratamiento a la hora de diseñar sus procedimientos y formularios de recogida de datos, y por otro, conseguir que las personas interesadas obtengan la información más relevante de forma rápida y simplificada en una primera capa, pero sin que ello suponga ningún menoscabo de los principios de licitud, lealtad y transparencia que establece el RGPD. 32 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 Un ejemplo de Cláusula de información en formato papel podría ser el siguiente: Ejemplo de Cláusula Información básica 1ª capa en formato Papel sobre Protección de Datos Responsable Ediciones Warren&Brandeis, S.A. Finalidad Gestión de la suscripción Legitimación Ejecución de un contrato Destinatarios No se cederán datos a terceros, salvo obligación legal Acceder, rectificar y suprimir los datos, así como otros derechos, Derechos como se explica en la información adicional Puede consultar la información adicional y detallada sobre Protección de Datos Información adicional en nuestra página web: http://www.warrenbrandeis.com/protecciondatos Otro ejemplo de cláusula de información en formato electrónico podría ser el siguiente: Información básica sobre Protección de Datos Responsable Ediciones Warren&Brandeis, S.A. +info Finalidad Gestionar el envío de información y prospección comercial +info Legitimación Consentimiento del interesado +info Otras empresas del grupo Warren&Brandeis, Inc. Encargados de Trata- Destinatarios miento fuera de la UE, acogido a «Privacy Shield» +info Acceder, rectificar y suprimir los datos, así como otros derechos, Derechos como se explica en la información adicional +info Puede consultar la información adicional y detallada sobre Protección de Datos en Información adicional nuestra página web: http://www.warrenbrandeis.com/protecciondatos/info/ Conclusiones Información fija a facilitar: Datos del responsable, finalidad y base jurídica del tratamiento, plazo de conservación, ejercicio de derechos, posibilidad de revocar el consentimiento y posibilidad de reclamación. Información variable: Cesiones o comunicaciones, Delegado de PD, Interés legítimo, Transferencias internacionales y decisiones automatizadas. En caso de no obtener la información del interesado se deberá informar en el plazo de 1 mes añadiendo información sobre el origen de los datos y las categorías de datos obtenidas. Se recomienda por las Autoridades de control dividir la información en dos capas, una de primer nivel con la información básica resumida y otra de segundo nivel con información adicional detallada. División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 33 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 2.3 Derecho de acceso El derecho de acceso viene regulado en al art. 15 y en los considerandos 63 y 64 del RGPD así como en el artículo 13 de la LOPDGDD. I. Alcance A diferencia con el derecho de acceso de nuestra normativa de protección de datos, el derecho de acceso que introduce el RGPD, es un derecho más amplio que debe incluir la siguiente información: Finalidad del tratamiento. Categoría del dato tratado. Destinatarios. Plazo de conservación. Existencia del derecho a rectificar, suprimir, limitar u oponerse al tratamiento. Reclamación. Origen de la fuente de obtención del dato. Existencia de decisiones individuales automatizadas y elaboración de perfiles, así como la lógica aplicada para las mismas. Transferencias internacionales y garantías implantadas para la realización de las mismas. II. Modo Respecto al modo en el que se debe facilitar el acceso, el art. 15.3 y el considerando 63 señalan que se deberá facilitar una copia de los datos objeto de tratamiento de forma sencilla o con facilidad en intervalos de plazo razonables, con el fin de que el interesado pueda verificar y conocer la licitud del tratamiento. Se hace una mención específica en dicho considerando, a los datos relativos a la salud incluidos en los Historiales Clínicos, debiendo contener información sobre diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas. Asimismo, en caso de que el interesado solicite otra copia, esta podrá ser remunerada con una tasa o canon razonable basado en los costes administrativos que suponga dicha copia. Además, debe facili- tarse por medios electrónicos de uso común, si el interesado utilizó estos para realizar su solicitud. A este respecto, el considerando 63 establece que los responsables deben estar facultados para permitir un acceso remoto seguro que ofrezca al interesado un acceso directo a sus datos personales. Se habilita igualmente por el considerando 63 la posibilidad de solicitar al interesado mayor concre- ción en la solicitud de acceso cuando la misma conlleve gran cantidad de información relativa al interesado. Por último, en el mismo considerando se restringe el ejercicio del derecho de acceso a que el mismo no afecte negativamente a los derechos y libertades de otros, incluidos los secretos comerciales o la propiedad intelectual, y en particular los derechos de propiedad intelectual que protegen los programas informáticos. En cuanto a lo establec

03_PROTECCION_DATOS_PERSONALES.pdf

Document Details

Tags

Related

Full Transcript

Upgrade to continue