pablo@pablofb.com   Contenido basado en normas de España (Europa), salvo indicación expresa en contrario.

Fundamentos de la protección de datos en España

El derecho fundamental a la protección de datos

La protección de datos de carácter personal es uno de los derechos irrenunciables de la personalidad que acompañan al ser humano desde el día de su nacimiento. Otros, en esta misma categoría, son el derecho a la vida, a tener un nombre, al honor, a la intimidad, a la privacidad y la propia imagen.

El objetivo de este derecho es salvaguardar la autodeterminación informativa de las personas físicas; es decir, proteger el control que toda ser humano debe tener sobre toda información que le concierna.

Este derecho no es absoluto; es decir, no está por encima de todos los demás, sino que puede ser limitado en algunos casos en pro de libertad de expresión, de pensamiento o la diversidad cultural, religiosa y lingüística, entre otros. Estos límites se interpretan de una forma diferente en cada lugar del mundo, incluidos los diferentes estados de Europa, y en función de las normas que cada estado haya querido establecer para regularlo.

GDPR es la apuesta europea por un espacio único de protección

El Reglamento General de Protección de Datos (RGPD o GDPR) [y su corrección] es la apuesta de la Unión Europea para crear un espacio común y único de libertad, seguridad y justicia basada en el tratamiento adecuado de los datos de carácter personal bajo seis principios:

  1. Licitud, lealtad y transparencia: Las personas sabrán cómo se tratan y quién trata sus datos.
  2. Limitación de la finalidad: Los datos solo serán tratados para fines explícitos y legítimos.
  3. Minimización de datos: Se obtendrán o mantendrán los datos estrictamente necesarios.
  4. Exactitud: Se hará un esfuerzo en mantener solo datos siempre actualizados.
  5. Limitación del plazo de conservación: Concluido el tratamiento aceptado, el dato será suprimido.
  6. Integridad y confidencialidad: Se obliga a la protección del dato con las medidas adecuadas.

La responsabilidad proactiva impuesta a través del GDPR exige, a las empresas que tratan datos, documentar los esfuerzos y las acciones que realizan para cumplir esta norma.

El incumplimiento de la norma puede tener como consecuencia una advertencia por parte de la Autoridad de Control, un apercibimiento o una multa administrativa de 20 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior (aplicable sobre lo facturado por el grupo de empresas), optándose por la de mayor cuantía.

GDPR parte de la base de que el tratamiento de datos debe servir a la humanidad y aporta un desarrollo normativo adaptado al cambio tecnológico con el foco puesto en el impulso del intercambio legal de datos.

España cuenta con normativa propia de protección de datos

España cuenta con normativa propia de protección de datos diferente a la que existe en el resto de países de la Unión Europea. GDPR reconoce margen de maniobra para la normativa local haciendo cincuenta y seis remisiones a los ordenamientos nacionales.

Algunos de los sectores de actividad en España que cuentan con normativa propia son: marketing, jurídico, laboral, sanitario, financiero, educación, prensa, telecomunicaciones y administración pública.

Datos personales: derechos y obligaciones

Dato personal es toda información sobre una persona física identificada o identificable.

Se tratan nuestros datos personales cuando nos registramos en una feria, nos suscribimos a una newsletter o nos atienden en un hospital.

Ejemplos: nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona…

Algunas de las principales normas sobre protección de datos en España, son las siguientes (ver código):

  • Constitución Española (CE), en especial los arts. 18 y 20.
  • LOPD 3/2018 (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).
    • LOPD 15/1999: Derogada, salvo por lo indicado en la disposición derogatoria única de la LOPD 3/2018.
    • RLOPD 1720/2007: Derogada en todo lo que contradiga, se oponga o resulte incompatible con lo dispuesto en el RGPD y en la LOPD 3/2018.
  • Real Decreto 428/1993 (AEPD)
  • Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas)
  • Ley 34/2002 (LSSI)
  • Ley 9/2014 (LGT)
  • Ley 25/2007 (conservación de datos)
  • Código Deontológico de la Abogacía Española
  • Real Decreto Legislativo 2/2015 (ET)
  • Ley 5/2014 (seguridad privada)
  • Ley 10/2010 (LPBC)
  • Ley 41/2002 (autonomía del paciente)
  • Ley Orgánica 4/1997 (videocámaras de FyCSE)
  • Ley Orgánica 2/1984 (rectificación en prensa)
  • Ley Orgánica 1/1982 (intimidad e imagen)
  • Ley 14/1966 (prensa)
  • Real Decreto Legislativo 1/2007 (c-usuarios)

Todo ser humano cuenta con derecho a la protección de datos de carácter personal.

Sin embargo, solo están protegidos por la normativa de la Unión aquellos cuyos datos sean tratados por los sujetos obligados.

Ejemplo: Los datos de personas de Japón que consten en ficheros de una empresa española están protegidos por GDPR. Sin embargo, si constan solo en una empresa japonesa no disfrutarán, en principio, de esta protección.

GDPR y la demás normativa de protección de datos establecen obligaciones para las empresas, los autónomos, las asociaciones, las fundaciones… y para toda persona física o jurídica dedicada a una actividad económica o profesional siempre que se cumpla al menos uno de estos requisitos:

  • que trate datos (dentro o fuera de la Unión) para una actividad de un establecimiento en la Unión;
  • que reciba datos desde Europa;
  • que preste servicios o venda productos hacia Europa tratando datos de personas que están en la Unión; o
  • que controle, desde fuera de la Unión, el comportamiento de personas físicas que están en la Unión.

También están protegidos, pero no por esta vía sino por otra normativa específica, los datos societarios, los que se traten para actividades domésticas o personales sin conexión profesional, los datos incorporados a ficheros no estructurados (siempre que no se pretenda estructurarlos) y los datos relativos a la seguridad nacional o europea y política exterior de los Estados.

Ejemplos de empresas sí sujetas al GDPR:

  • Una empresa española que envíe newsletters a 1 o 100 suscritos.
  • Un autónomo que venda flores en Madrid, España.
  • Una consultora chilena que preste servicios hacia España.

Ejemplos de empresas no sujetas:

  • Un autónomo japonés que venda flores en Tokio.
  • Un hospital de Canadá que preste servicios en Ottawa.

GDPR y los cuatro Pilares de la protección de datos

Qué hacer y qué no hacer según GDPR

Evita el riesgo para los datos

Sigue estos consejos para saber qué es lo que no tienes que hacer:

  • Está prohibido pedir más datos personales de los que se necesitan.
  • Evita poner, en contratos, textos legales que no comprendes.
  • No borres el e-mail en el que el cliente dio su consentimiento.
  • No te saltes las medidas de seguridad por ir más rápido.
  • Nunca compartas contraseñas y no te levantes sin bloquear pantalla.
  • Evita programas pirata o de fuentes no confiables.
  • No ocultes a tu empresa los incidentes que afecten a tu PC o móvil.
  • Jamás vendas o compres bases de datos sin el OK de Compliance.
  • Evita proveedores que no garanticen seguridad en el tratamiento.

Si te dedicas al marketing:

  • Nunca envíes e-mails publicitarios a correos encontrados en Internet.
  • No trates de ocultar que usarás los datos para fines promocionales.
  • No elabores perfiles con los datos de tus clientes, a menos que tengas prueba de que te dieron consentimiento expreso para ello.
  • Nunca tomes fotos de caras sin consentimiento previo y expreso.
  • Evita instalar cookies publicitarias o analíticas a través del sitio web, salvo que hayas obtenido el consentimiento apropiado de los usuarios.

Recuerda: sobre ti pesa la carga de la prueba. Si no puedes probar que te dieron un consentimiento… es que no te lo dieron. Mantén tu responsabilidad proactiva.

Mantén responsabilidad proactiva

Consejos generales de lo que sí tienes que hacer:

  • Sé transparente con los clientes: diles qué harás con sus datos.
  • Usa datos personales de otros solo para lo que hayan autorizado.
  • Conoce los derechos de protección de datos: acceso, supresión…
  • Solicita acceso a la Guía de Buenas Prácticas de tu empresa.
  • Recuerda guardar pruebas de que cumples la normativa.
  • Informa inmediatamente sobre incidentes de seguridad.
  • Fórmate continuamente en protección de datos y en ciberseguridad.
  • Si ves que se puede mejorar en protección de datos, haz propuestas.
  • Conoce al Delegado de Protección de Datos. Cuenta con Compliance.

Si te dedicas al marketing:

  • Necesitas consentimiento explícito para elaborar perfiles.
  • Los e-mails publicitarios requieren permiso expreso del receptor.
  • Sin autorización, puedes enviar publicidad por e-mail a tus clientes sobre productos o servicios propios similares a los que contrataron.
  • Obtén consentimiento expreso para tomar fotos o hacer vídeos.
  • Subir fotos a redes sociales exige informar a los afectados sobre los riesgos que correrán sus datos y, después, obtener su consentimiento expreso.

Recuerda: obtén y custodia prueba documental de todos tus esfuerzos y de las acciones que tomes para cumplir GDPR y la normativa vinculada.