+34.911735181 pablo@pablofb.com   Contenido basado en normas de España (Europa), salvo indicación expresa en contrario.

Fundamentos de la protección de datos en España

El derecho fundamental a la protección de datos

La protección de datos de carácter personal es uno de los derechos irrenunciables de la personalidad que acompañan al ser humano desde el día de su nacimiento. Otros, en esta misma categoría, son el derecho a la vida, a tener un nombre, al honor, a la intimidad, a la privacidad y la propia imagen.

El objetivo de este derecho es salvaguardar la autodeterminación informativa de las personas físicas; es decir, proteger el control que toda ser humano debe tener sobre toda información que le concierna.

Este derecho no es absoluto; es decir, no está por encima de todos los demás, sino que puede ser limitado en algunos casos en pro de libertad de expresión, de pensamiento o la diversidad cultural, religiosa y lingüística, entre otros. Estos límites se interpretan de una forma diferente en cada lugar del mundo, incluidos los diferentes estados de Europa, y en función de las normas que cada estado haya querido establecer para regularlo.

GDPR es la apuesta europea por un espacio único de protección

El Reglamento General de Protección de Datos (RGPD o GDPR) [y su corrección] es la apuesta de la Unión Europea para crear un espacio común y único de libertad, seguridad y justicia basada en el tratamiento adecuado de los datos de carácter personal bajo seis principios:

  1. Licitud, lealtad y transparencia: Las personas sabrán cómo se tratan y quién trata sus datos.
  2. Limitación de la finalidad: Los datos solo serán tratados para fines explícitos y legítimos.
  3. Minimización de datos: Se obtendrán o mantendrán los datos estrictamente necesarios.
  4. Exactitud: Se hará un esfuerzo en mantener solo datos siempre actualizados.
  5. Limitación del plazo de conservación: Concluido el tratamiento aceptado, el dato será suprimido.
  6. Integridad y confidencialidad: Se obliga a la protección del dato con las medidas adecuadas.

La responsabilidad proactiva impuesta a través del GDPR exige, a las empresas que tratan datos, documentar los esfuerzos y las acciones que realizan para cumplir esta norma.

El incumplimiento de la norma puede tener como consecuencia una advertencia por parte de la Autoridad de Control, un apercibimiento o una multa administrativa de 20 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior (aplicable sobre lo facturado por el grupo de empresas), optándose por la de mayor cuantía.

GDPR parte de la base de que el tratamiento de datos debe servir a la humanidad y aporta un desarrollo normativo adaptado al cambio tecnológico con el foco puesto en el impulso del intercambio legal de datos.

España cuenta con normativa propia de protección de datos

España cuenta con normativa propia de protección de datos diferente a la que existe en el resto de países de la Unión Europea. GDPR reconoce margen de maniobra para la normativa local haciendo cincuenta y seis remisiones a los ordenamientos nacionales.

Algunos de los sectores de actividad en España que cuentan con normativa propia son: marketing, jurídico, laboral, sanitario, financiero, educación, prensa, telecomunicaciones y administración pública.

Datos personales: derechos y obligaciones

Dato personal es toda información sobre una persona física identificada o identificable.

Se tratan nuestros datos personales cuando nos registramos en una feria, nos suscribimos a una newsletter o nos atienden en un hospital.

Ejemplos: nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona…

Algunas de las principales normas sobre protección de datos en España, son las siguientes (ver código):

  • Constitución Española (CE), en especial los arts. 18 y 20.
  • RD-l de Medidas urgentes para adecuar el Dcho. español al RGPD
  • LOPD 15/1999
  • RLOPD 1720/2007
  • Real Decreto 428/1993 (AEPD)
  • Directiva 2002/58/CE (D. ePrivacy)
  • Ley 34/2002 (LSSI)
  • Ley 9/2014 (LGT)
  • Ley 25/2007 (conservación de datos)
  • Código Deontológico de la Abogacía Española
  • Real Decreto Legislativo 2/2015 (ET)
  • Ley 5/2014 (seguridad privada)
  • Ley 10/2010 (LPBC)
  • Ley 41/2002 (autonomía del paciente)
  • Ley Orgánica 4/1997 (videocámaras de FyCSE)
  • Ley Orgánica 2/1984 (rectificación en prensa)
  • Ley Orgánica 1/1982 (intimidad e imagen)
  • Ley 14/1966 (prensa)
  • Real Decreto Legislativo 1/2007 (c-usuarios)

En proyecto

Todo ser humano cuenta con derecho a la protección de datos de carácter personal.

Sin embargo, solo están protegidos por la normativa de la Unión aquellos cuyos datos sean tratados por los sujetos obligados.

Ejemplo: Los datos de personas de Japón que consten en ficheros de una empresa española están protegidos por GDPR. Sin embargo, si constan solo en una empresa japonesa no disfrutarán, en principio, de esta protección.

GDPR y la demás normativa de protección de datos establecen obligaciones para las empresas, los autónomos, las asociaciones, las fundaciones… y para toda persona física o jurídica dedicada a una actividad económica o profesional siempre que se cumpla al menos uno de estos requisitos:

  • que trate datos (dentro o fuera de la Unión) para una actividad de un establecimiento en la Unión;
  • que reciba datos desde Europa;
  • que preste servicios o venda productos hacia Europa tratando datos de personas que están en la Unión; o
  • que controle, desde fuera de la Unión, el comportamiento de personas físicas que están en la Unión.

También están protegidos, pero no por esta vía sino por otra normativa específica, los datos societarios, los que se traten para actividades domésticas o personales sin conexión profesional, los datos incorporados a ficheros no estructurados (siempre que no se pretenda estructurarlos) y los datos relativos a la seguridad nacional o europea y política exterior de los Estados.

Ejemplos de empresas sí sujetas al GDPR:

  • Una empresa española que envíe newsletters a 1 o 100 suscritos.
  • Un autónomo que venda flores en Madrid, España.
  • Una consultora chilena que preste servicios hacia España.

Ejemplos de empresas no sujetas:

  • Un autónomo japonés que venda flores en Tokio.
  • Un hospital de Canadá que preste servicios en Ottawa.

GDPR y los cuatro Pilares de la protección de datos

Las empresas que quieran tratar datos personales tienen que obtener el consentimiento de las personas cuyos datos van a ser objeto de tratamiento. Este consentimiento debe obtenerse después de haberles informado de manera clara, transparente y leal sobre los detalles fundamentales del tratamiento proyectado.

Información por capas

La entrega de la información por capas es una de las principales novedades y, en un futuro, se facilitará su comprensión gracias al uso de iconos:

  • Primera capa: Información comprensible y expresada de forma concisa para que la persona que va a entregar sus datos sepa, de un vistazo:
    • Identidad del Responsable del tratamiento.
    • Finalidad del tratamiento.
    • Legitimación del tratamiento (o motivo por el que es legal tratar los datos).
    • Destinatarios de cesiones o transferencias.
    • Derechos de las personas sobre el tratamiento de sus datos personales.
    • Procedencia de los datos cuando no proceden del interesado.
  • Segunda capa: Información extendida para que el interesado, antes de entregar sus datos, sepa con detalle:
    • Datos de contacto del Responsable, de su representante y de su Delegado de Protección de Datos.
    • Descripción ampliada de los fines del tratamiento, los plazos o criterios de conservación de los datos y los detalles y criterios de la toma de decisiones individuales automatizadas en caso de que se fueran a tomar.
    • Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo y la obligación o no de facilitar datos y consecuencias de no hacerlo.
    • Datos de los destinatarios de las cesiones e información sobre  decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
    • Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento.
    • Derecho a retirar el consentimiento prestado.
    • Derecho a reclamar ante la Autoridad de Control.
    • Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público y las categorías de datos que se traten.

En relación con la instalación o uso de cookies no técnicas u otro tipo de dispositivo similar, la información también se entrega por capas. En una primera se ha de informar sobre el hecho de que se usan cookies (tipo de cookie y si son de primera parte o de tercera) y permitir el acceso a una segunda en la que se informe de qué es una cookie, del tipo de cookies que se usan en el sitio web concreto, de la finalidad de estas y de la forma existente para borrarlas, así como de la posibilidad o imposibilidad de identificar a los afectados.

El consentimiento

Existen, fundamentalmente, cuatro tipos de consentimientos:

  1. Consentimiento tácito: No es válido para el tratamiento de datos de carácter personal. Con la anterior normativa, se basaba en la ficción del silencio positivo: si la persona no se oponía (por el paso del tiempo o por no marcar una casilla), se podían tratar sus datos.
  2. Consentimiento inequívoco: El consentimiento que la persona podrá dar para que sus datos sean tratados será, por lo general, inequívoco. Es decir, la persona no puede albergar dudas sobre a quién y para qué ha entregado sus datos.
  3. Consentimiento explícito o expreso: En determinados casos, el consentimiento deberá ser explícito o expreso; es decir, la persona deberá haber realizado un acto expreso específico. Por ejemplo, uno de doble verificación,  como, la pulsación de un enlace de confirmación de la suscripción a una newsletter que el responsable haya enviado al correo electrónico que aportó.
  4. Consentimiento por escrito: Será necesario en casos puntuales relacionados con determinados sectores como el sanitario, el financiero, el de la administración pública y el artístico.

Los casos de consentimiento explícito son determinados y escasos. Algunos de los principales son:

  • Tratamiento de datos de categorías especiales (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física).
  • Tratamiento de datos para la elaboración de perfiles o para la toma de decisiones individuales automatizadas que produzcan efectos jurídicos en la persona física interesada o le afecte significativamente de modo similar.
  • Tratamiento de datos con transferencias internacionales de riesgo por la ausencia de una decisión de adecuación y de garantías adecuadas a sujetos con los que no se cuenta con un contrato suficiente y adaptado al GDPR de encargado del tratamiento u otros mecanismos de transferencia lícita.
  • Tratamiento de la imagen o de datos íntimos de las personas físicas.
  • Tratamiento de datos personales relativos a condenas e infracciones penales.
  • Tratamiento de datos para el envío de comunicaciones publicitarias o promocionales por vía electrónica.
  • Tratamientos que requieren firma en sectores determinados (sanitario, finaciero, de la administración pública y artístico, ente otros).

La norma exige a la empresa guardar una prueba documental de estos consentimientos, como parte de su responsabilidad proactiva.

GDPR establece obligaciones concretas para las empresas en relación con la forma en la que gestionan el tratamiento de datos de carácter personal.

Una de las obligaciones principales que establece GDPR es la de formar en protección de datos y ciberseguridad a las personas que vayan a tener acceso a los datos de carácter personal. Vinculado a esta, se establece la obligación para el empresario de poder probar esta formación continua.

Otra de estas obligaciones es la elaboración, actualización y llevanza continua de un documento de seguridad.

El documento de seguridad es el conjunto de instrucciones corporativas, protocolos internos y contratos con externos enfocado al cumplimiento de la normativa de protección de datos y a la generación y custodia de pruebas documentales de ello.

Lejos de la idea de un manual encuadernado con una espiral, el documento de seguridad es un instrumento vivo que debe ser mantenido, por ejemplo, mediante una sección de páginas en la intranet de la empresa o un árbol de carpetas con permisos de acceso de lectura o privilegios de edición para el personal según la necesidad.

El Documento de Seguridad adaptado al GDPR puede elaborarse con la estructura que se desee y debería incluir, al menos, estos elementos:

  • Tratamiento de Datos y DPO
    • Registro de actividades
    • Análisis sobre la necesidad de un DPO para cada una de las actividades de tratamiento como responsable y como encargado
    • Metodologías para la generación de procesos de nuevos tratamiento de datos con protección desde el diseño y por defecto
    • Pre-evaluaciones y, en su caso, evaluaciones de impacto sobre los datos personales
    • Análisis de riesgo por cada tratamiento e implantación de medidas físicas y lógicas
  • Personal y soportes
    • Funciones y obligaciones del personal
    • Certificados de formación de las personas que vayan a tener acceso a datos personales
    • Gestión de salida y entrada de soportes
    • Análisis de riesgos por cada tratamiento e implantación de medidas organizativas
  • Contratos de encargado del tratamiento, siempre localizables
  • Protocolos de actuación
    • Solicitud de derechos
    • Respaldos
    • Recuperación de datos
    • Brechas de seguridad
  • Mantenimiento constante por parte del Responsable de Seguridad o el DPO 

A través de la elaboración del documento de seguridad, la empresa definirá con detalle las finalidades de cada tratamiento, determinará la necesidad de contar con un DPO (Delegado de Protección de Datos), realizar una EIPD (Evaluación de Impacto sobre la Protección de Datos), analizar los riesgo de los tratamientos identificados, establecer medidas de seguridad, elaborar protocolos… y actualizar todo lo anterior de forma continuada en el tiempo.

El objetivo es lograr un espacio confiable para el tratamiento de datos formado por empresas comprometidas por la calidad en el servicio orientado al cliente y en el respeto de sus datos personales y de su derecho a controlarlos (autodeterminación informativa).

Uno de los pilares sobre los que se sustenta la protección de datos de carácter personal es la la responsabilidad proactiva.

La responsabilidad proactiva es la responsabilidad que asume la empresa (o el responsable del tratamiento de que se trate) de poder demostrar su cumplimiento de los seis principios de la protección de datos de carácter personal: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; e integridad y confidencialidad.

La responsabilidad proactiva se concreta en la adopción de políticas de cumplimiento basadas en la mitigación de riesgos y en la generación y el mantenimiento de prueba documental de todos los esfuerzo y acciones que emprenda para cumplir la normativa de protección de datos.

La piedra angular de la responsabilidad proactiva es el principio de protección de datos desde el diseño y por defecto, consistente en analizar cada tratamiento que se vaya a iniciar o que esté en curso para determinar, con vistas al futuro, las medidas adecuadas para garantizar los seis principios de la protección de datos de carácter personal y el cumplimiento resiliente del resto de GDPR y la normativa vinculada.

Cuatro vías iniciales de cumplimiento de esta proactividad son las siguientes:

  • Análisis de riesgo: Cada uno de los tratamientos, salvo que sea necesario hacer una evaluación de impacto (que es un análisis avanzado y superior a este), será sometido a un análisis de riesgo para determinad y aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con GDPR. Estas medidas se elegirán teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas; y se revisarán y actualizarán cuando sea necesario.
  • Evaluación de impacto: Cuando sea probable que un tipo de tratamiento, en particular (pero no solo) si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Además de otros casos que encajen en la descripción anterior, la evaluación de impacto se requerirá siempre en caso de:
    • evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
    • tratamiento a gran escala de las categorías especiales de datos de categorías especiales o de datos personales relativos a condenas e infracciones penales;
    • observación sistemática a gran escala de una zona de acceso público.
    • actividad indicada en una lista elaborada y publicada por la Agencia Española de Protección de Datos.
  • Designación de un Delegado de Protección de Datos de forma voluntaria o, en todo caso, cuando la norma así lo exige.
  • Formación continua en protección de datos y ciberseguridad para todas las personas que vayan a tener acceso a los datos de carácter personal en la empresa (o el sujeto obligado que corresponda).

A todo esto se le suma un especial hincapié en la adecuación constante y resiliente (con capacidad de sobreponerse ante adversidades) de los procesos y los sistemas al estado de la técnica en ciberseguridad, así como la obtención y custodia de pruebas documentales de toda acción tomada para cumplir GDRP y la normativa vinculada.

GDPR amplía el elenco de derechos que toda persona física puede ejercitar sobre el tratamiento de sus datos de carácter personal.

Ahora, las personas pueden ejercitar, entre otros, estos derechos:

  • Derecho a solicitar el acceso a los datos personales: se indica al interesado si la empresa está tratando o no sus datos y, en su caso: qué datos, cómo los ha obtenido, para qué los trata, si los ha comunicado, el plazo de conservación… Además, se le informa sobre los demás demás derechos que le asisten y sobre la posibilidad de que presente una reclamación ante la Agencia Española de Protección de Datos o la Autoridad de Control que corresponda.
  • Derecho a solicitar su rectificación (en caso de que sean inexactos) o supresión.
  • Derecho a solicitar la limitación de su tratamiento, en cuyo caso únicamente serán conservados por la empresa para el ejercicio o la defensa de reclamaciones.
  • Derecho a oponerse al tratamiento. La empresa dejará de tratar los datos en la forma que el interesado indique, salvo que por motivos legítimos imperiosos o el ejercicio o la defensa de posibles reclamaciones se tengan que seguir tratando.
  • Derecho a la portabilidad de los datos. En caso de que el interesado quiera que sus datos sean tratados por un tercero, la empresa le facilitará la portabilidad de sus datos al nuevo responsable.

Otros derechos a disposición de los interesados, además del derecho a ser informado sobre el tratamiento pretendido, son:

  • Derecho al olvido, que permite solicitar a un buscador que no muestre ciertos enlaces en las listas de resultados.
  • A no ser objeto de decisiones individualizadas automatizadas, incluida la elaboración de perfiles.
  • A la reparación del daño y a ser indemnizado.
  • Revocación sobre el tratamiento de la imagen.
  • Rectificación (o réplica) periodística.

Modelos, formularios y más información sobre los derechos referidos: Página oficial de la Agencia Española de Protección de Datos

Posibilidad de retirar el consentimiento: en el caso de que se haya otorgado el consentimiento para alguna finalidad específica, el interesado tiene derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

Cómo reclamar ante la Autoridad de Control: Si un interesado considera que hay un problema con la forma en que la empresa está manejando sus datos, puede dirigir sus reclamaciones a la autoridad de protección de datos que corresponda, siendo la Agencia Española de Protección de Datos la indicada en el caso de España.

Qué hacer y qué no hacer según GDPR

Evita el riesgo para los datos

Sigue estos consejos para saber qué es lo que no tienes que hacer:

  • Está prohibido pedir más datos personales de los que se necesitan.
  • Evita poner, en contratos, textos legales que no comprendes.
  • No borres el e-mail en el que el cliente dio su consentimiento.
  • No te saltes las medidas de seguridad por ir más rápido.
  • Nunca compartas contraseñas y no te levantes sin bloquear pantalla.
  • Evita programas pirata o de fuentes no confiables.
  • No ocultes a tu empresa los incidentes que afecten a tu PC o móvil.
  • Jamás vendas o compres bases de datos sin el OK de Compliance.
  • Evita proveedores que no garanticen seguridad en el tratamiento.

Si te dedicas al marketing:

  • Nunca envíes e-mails publicitarios a correos encontrados en Internet.
  • No trates de ocultar que usarás los datos para fines promocionales.
  • No elabores perfiles con los datos de tus clientes, a menos que tengas prueba de que te dieron consentimiento expreso para ello.
  • Nunca tomes fotos de caras sin consentimiento previo y expreso.
  • Evita instalar cookies publicitarias o analíticas a través del sitio web, salvo que hayas obtenido el consentimiento apropiado de los usuarios.

Recuerda: sobre ti pesa la carga de la prueba. Si no puedes probar que te dieron un consentimiento… es que no te lo dieron. Mantén tu responsabilidad proactiva.

Mantén responsabilidad proactiva

Consejos generales de lo que sí tienes que hacer:

  • Sé transparente con los clientes: diles qué harás con sus datos.
  • Usa datos personales de otros solo para lo que hayan autorizado.
  • Conoce los derechos de protección de datos: acceso, supresión…
  • Solicita acceso a la Guía de Buenas Prácticas de tu empresa.
  • Recuerda guardar pruebas de que cumples la normativa.
  • Informa inmediatamente sobre incidentes de seguridad.
  • Fórmate continuamente en protección de datos y en ciberseguridad.
  • Si ves que se puede mejorar en protección de datos, haz propuestas.
  • Conoce al Delegado de Protección de Datos. Cuenta con Compliance.

Si te dedicas al marketing:

  • Necesitas consentimiento explícito para elaborar perfiles.
  • Los e-mails publicitarios requieren permiso expreso del receptor.
  • Sin autorización, puedes enviar publicidad por e-mail a tus clientes sobre productos o servicios propios similares a los que contrataron.
  • Obtén consentimiento expreso para tomar fotos o hacer vídeos.
  • Subir fotos a redes sociales exige informar a los afectados sobre los riesgos que correrán sus datos y, después, obtener su consentimiento expreso.

Recuerda: obtén y custodia prueba documental de todos tus esfuerzos y de las acciones que tomes para cumplir GDPR y la normativa vinculada.