Protección de Datos para Dummies (Guía Básica)

Protección de Datos para Dummies (Guía Básica)

Google, Facebook, Instagram, Twitter… todas estas empresas llevan años dándonos servicios de manera “gratuita” y muchos se preguntaban cómo eran capaces de ser rentables sin cobrarnos nada. La respuesta hoy en día es clara: se ganan la vida con nuestros datos personales.

¿Te has dado cuenta de que las Smart TV empiezan a ser más baratas que las televisiones convencionales? Este es solo uno de miles de ejemplos que podemos ver en el día a día. Estamos inmersos de lleno en la era del Big Data. Ya no importa tanto el cobrar por un servicio o un producto, sino que los datos personales (si sabes utilizarlos) son uno de los activos más valiosos.

Esto ha llevado a muchas empresas a abusar del uso de datos personales de sus clientes o usuarios (lo veíamos hace poco con el caso de Facebook cediendo tus mensajes a más de 150 empresas). La facilidad de recopilar datos en el entorno digital, sin que nos demos cuenta, es extraordinaria. Te metes en una web y las cookies ya están rastreando lo que haces en todo momento (mientras lees esto Google Analytics nos está proporcionando datos sobre cuánto tiempo pasas en nuestra web y lo que haces en ella -todo para saber cómo mejorar tu experiencia aquí, qué tipo de post te gustan más…-). Pero no esto no se queda solo en el entorno web. Seguro que en el bolsillo o en la mano tienes un smartphone ¿Alguna vez te has fijado en qué permisos les das a las apps para que recolecten tus datos?; ¿sabes cuántas de tus apps tienen acceso a tu micrófono?; ¿a tu ubicación?, etc.

Te
recomiendo que busques en los ajustes de tu teléfono la opción de “Permisos de
aplicaciones” (o algo parecido) y te des cuenta de lo que estás permitiendo. Yo
tengo capados la mayoría de los permisos.      

Es importante ser consciente de el interés que tienen nuestros datos personales para las empresas (e incluso para cambiar resultados electorales de un país -como pasó con Cambridge Analytica-). Pero también hay que ser conscientes de que, gracias al uso de nuestros datos se pueden crear productos o servicios que nos beneficien más de lo que nos afecta que la empresa X sepa que tengo 23 años y que me gusta la tecnología.

Por tanto, es necesario un equilibrio. No hay que impedir el uso de datos personales, pero no se puede permitir cualquier tipo de uso y, por tanto, debe haber consecuencias si “te pasas”. Esto es lo que se persigue con la normativa de protección de datos, establecer el régimen idóneo para permitir el uso de datos personales, pero con unos límites.

¿Por qué hay que limitar el uso de datos personales?

Unido a lo que he tratado de reflejar arriba, es importante contemplar que jurídicamente la protección de datos se ha configurado como un Derecho Fundamental.

Por un lado, el artículo 10 de la Constitución Española establece el Derecho a la Dignidad de la persona

En el artículo 18 de nuestra Constitución se recogen los derechos al honor, a la intimidad personal y familiar y a la propia imagen (apartado 1) y, además, se establece una limitación del uso de la informática para salvaguardar estos derechos (apartado 4).

La interpretación conjunta de estos dos artículos llevó al Tribunal Constitucional a establecer la Protección de Datos como un Derecho Fundamental autónomo e independiente (por si queréis leer la sentencia es la STC 292/2000, de 30 de noviembre).

Lo que se trata garantizar con este derecho fundamental es, simplemente, que puedas controlar tus datos personales. Que puedas disponer de ellos y puedas decidir quién puede utilizarlos y para qué.

Pero…, ¿qué son los datos personales?

via GIPHY

El art. 4 del Reglamento General para la Protección de Datos (RGPD o GDPR) define estos dos conceptos, de modo que serás considerados:

“toda información sobre una persona física identificada e identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;”

Este concepto es tan amplio que se ha considerado que son datos personales, obviamente, el nombre y apellidos de una persona, su número de identificación, su domicilio…, pero también se ha llegado a considerar que son datos personales un email o una dirección IP.

Asimismo, también entendemos como datos personales todos aquellos que permitan identificar físicamente a una persona (datos biométricos), una foto, una huella dactilar, así como aquellos que afecten a su esfera privada como datos médicos, sus creencias religiosas… (este tipo de datos son muy sensibles, por lo que se encuentran especialmente protegidos).

En definitiva, cualquier dato que permita identificar elementos específicos o característicos de la identidad física, fisiológica, psíquica, económica, cultural o social de alguna persona.

¿Y qué es el tratamiento de datos personales?

El artículo 4 del RGPD define el tratamiento de datos personales como:

“cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”

Vamos, que si recabas datos personales a través de cualquier medio como:

  • un formulario de contacto,
  • un fichero de suscriptores a una newsletter,
  • un formulario de registro para crear un perfil de usuario,
  • para realizar transacciones electrónicas a través de la web…;

Estarás tratando datos personales y, por tanto, debes tener una política de privacidad mediante las que se informe de una forma clara cuáles serán los datos que se recabarán del usuario y la finalidad para los que se van a utilizar.

¿Cuál es la normativa aplicable a la protección de datos personales?

via GIPHY

Con el tiempo y la entrada en vigor del reglamento de protección de datos personales la normativa aplicable a la protección de datos se ha reducido bastante, pero es importante tener claro que el Reglamento no lo es todo y será importante tener en cuenta:

Además, aunque no sean normas específicas de protección de datos, también afectan directamente las siguientes:

Obligaciones para quienes tratan datos de carácter personal

Para poder tratar datos personales hay dos cosas imprescindibles:

  • Tener legitimidad para poder tratar datos personales.
  • Informar de qué datos vas a tratar y para qué

Bases de legitimación para el uso de datos personales

Así, la política de privacidad generalmente debe de ser aceptada expresamente por el usuario de forma libre, específica, informada e inequívoca, el interesado debe realizar una “clara acción afirmativa” no siendo válido ya un consentimiento tácito ni una cláusula premarcada, es necesario que el propio usuario sea quien realice una acción para aceptar dicho consentimiento.

Sin embargo, el RGPD establece otra serie de supuestos que servirán para tratar los datos sin necesidad de solicitar un consentimiento expreso del usuario (art. 6 RGPD):

  • Cuando el tratamiento sea necesario para ejecutar un contrato en el que el interesado (la persona de quien se recaben los datos) sea parte.
  • Cuando el tratamiento sea necesario porque exista una ley aplicable que te obligue a recabar ciertos datos (por ejemplo, la Ley de blanqueo de capitales).
  • Cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona.
  • Cuando el contrato sea necesario para cumplir con alguna tarea de interés público.
  • Cuando el tratamiento sea necesario para satisfacer intereses legítimos, siempre que sobre este interés no prevalezcan los intereses o derechos y libertades del interesado.

De este modo, se abre la posibilidad de que, alegando la existencia de alguna de estas causas no sea necesario recabar un consentimiento expreso del cliente. Puede resultar interesante para las empresas recurrir a la existencia de un interés legítimo para el tratamiento de los datos (aunque para prevenir, será mejor siempre recabar un consentimiento expreso).

Contenido mínimo del que se debe informar a los usuarios

Por último, el contenido mínimo que debe tener la política de privacidad es:

  • Datos de información o contacto del responsable del tratamiento de los datos personales y, en su caso, del delegado de protección de datos.
  • Debe informarse de la finalidad del tratamiento y cuál es la causa jurídica que te legitima para hacer dicho tratamiento (consentimiento, ejecución de un contrato, obligación legal, intereses vitales, interés público o interés legítimo).
  • En caso de que vayas a ceder los datos personales a un tercero, quién será el destinatario de estos datos.
  • El tiempo que conservarás dichos datos o, en caso de que no sepas exactamente el plazo que debes conservarlos algún criterio para determinarlo (por ejemplo, hasta que el cliente elimine su cuenta de usuario en la web).
  • Información sobre la existencia de los llamados derechos ARCO (acceso, rectificación, cancelación -que con el reglamento pasa a llamarse supresión-, y oposición), además de los derechos a la limitación del tratamiento y a la portabilidad que añade el RGPD. Y la forma de ejercitar dichos derechos.
  • Información sobre el modo de presentar reclamación ante la autoridad de control en caso de que sea necesario (la Agencia Española de Protección de Datos -AEPD-).
  • Las consecuencias que existirán en caso de no facilitar los datos solicitados.
  • Será necesario poner de manifiesto si se realizan decisiones automatizadas, si se elaboran perfiles de los interesados y en su caso describir el modo en que se creen.

Medidas de responsabilidad activa

Además de esto, se establecen una serie de medidas de responsabilidad activa del encargado del tratamiento de datos:

Realizar un análisis de riesgo

via GIPHY

El análisis de riesgos supone realizar un estudio sobre las posibles amenazas y riesgos que puedan correr los datos que tratas en contraposición con la vulneración que sufriría el ciudadano si se cumple alguno de esos riesgos. Por tanto, dependiendo del riesgo de vulneraciónde derechos fundamentales que suponga el tratamiento que realizas habrá que establecer las medidas de seguridad.

Tener un registro de actividades de tratamiento

Con la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) se elimina el requisito de registrar ficheros de datos ante la Agencia de Protección de Datos. En lugar de esto, ahora se establece la obligación de que para cada finalidad de tratamiento se elabore un registro de los datos necesarios para la actividad concreta que se va a realizar con ellos.

Realizar la protección de datos desde el diseño y por defecto

Con esta nueva normativa, al buscarse una actitud proactiva por parte de quienes vayan a tratar datos personales, se establece esta obligación. Lo que conlleva la protección de datos desde el diseño es:

  • Que se tenga en cuenta la protección de datos desde que se decide realizar una actividad, crear una empresa, prestar un servicio… De modo que no se desarrolle el producto/servicio y después se trate de adaptar esto a la normativa de protección de datos.
  • Que la política de protección de datos sea diseñada específicamente para esa empresa y así evitar el uso de formularios y el copiapegar políticas de privacidad ajenas.

Establecer medidas de seguridad suficientes

via GIPHY

Se establece a su vez la obligación de que se establezcan medidas de protección suficientes para que no haya ningún tipo de filtración de datos personales. Por tanto, será interesante acudir a técnicas de cifrado de datos, tener un programa de prevención para que los responsables traten los datos de forma segura…

Notificar de las violaciones de seguridad de los datos

Se establece la obligación de notificar a las Agencias de Protección de Datos de las violaciones de seguridad que haya sufrido el responsable del tratamiento. De este modo, si, por ejemplo, sufres un ciberataque que pueda haber supuesto la filtración de datos, dispones de un máximo de 72 horas para notificar. Si no lo haces, habrá consecuencias en materia de responsabilidad.

Realizar una evaluación de impacto sobre la protección de datos

Establecer un delegado de protección de datos cuando se den determinados tratamientos de datos

Esta ha sido otra de las figuras de las que más se ha hablado con la entrada en vigor del RGPD. En este vídeo de la propia AEPD se explica a fondo el papel del Delegado de Protección de Datos (DPD o DPO):

¿Cuáles son las consecuencias de pasarte con el tratamiento de datos? Las famosas sanciones del RGPD

Uno de los aspectos de la nueva normativa de protección de datos que ha entrado en vigor recientemente es precisamente este: las sanciones.

Multas de hasta 10,000,000 o 2% del volumen de negocio global del último año:

  • Por vulnerar las obligaciones del responsable y del encargado
  • Por vulnerar obligaciones de certificación
  • Por vulnerar obligaciones de control

Multas de hasta 20,000,000 o 4% del volumen de negocio global del último año:

  • Por vulnerar los principios básicos de tratamiento
  • Por vulnerar los derechos de los interesados
  • Por transferir datos a países ajenos a la UE que no tengan un nivel de garantía adecuado.
  • Incumplimiento de una resolución

Este aumento considerable de las sanciones ha hecho que por lo menos las empresas comiencen a preocuparse por cumplir con la normativa de protección de datos.

Ya hemos visto cómo se han impuesto algunas sanciones importantes con la aplicación del RGPD. Por ejemplo:

via GIPHY

Materiales sobre protección de datos adicionales

Como esta Guía no tiene la intención de ser un análisis exhaustivo sobre el complejo régimen jurídico sobre protección de datos, te dejo aquí una serie de materiales que considero que pueden serte de interés para seguir profundizando en la materia.

Como el Crossover entre el RGPD y la nueva LOPD de Javier Sempere

Blogs sobre protección de datos

  • Blog personal del abogado Samuel Parra en el que comenta noticias interesantes sobre esta materia.
  • Blog personal de Jorge García Herrero
  • Web de Secuoya Group: grupo de especialistas en protección de datos
  • Son interesantes también los post y vídeos que han hecho sobre este tema A Definitivas y Términos y Condiciones en el marco de su proyecto: Derecho Ficción

Materiales de la AEPD sobre protección de datos

La AEPD está realizando una muy buena labor en cuanto a crear materiales para todos los públicos.

  • Tiene guías para responsables de tratamiento de datos, para que los ciudadanos gestionen sus datos…
https://www.aepd.es/guias/index.html
  • Pero no queda su labor en facilitarnos guías, sino que también están llenando su canal de Youtube con material muy interesante. Desde grabaciones de conferencias que han impartido hasta tutoriales de cómo gestionar la privacidad en las redes sociales:
https://www.youtube.com/channel/UCdKb1SWpT_D0bdqd-9BwLBw
  • Además, también ha desarrollado una herramienta que sirve para poder adaptarnos de forma sencilla a la normativa de protección de datos: Facilita.
https://www.servicios.agpd.es/AGPD/view/form/MDAwMDAwMDAwMDAwMDIwMzQzNjAxNTQ4NjE0OTU5Njkx?updated=true

Realmente esta herramienta no deja de ser un “repositorio” de formularios, por lo que siempre será mejor acudir a un profesional para que te haga la adaptación desde el diseño.

  • Tiene una serie de estudios también muy interesantes para poder profundizar más.
  • Ha elaborado varias infografías para transmitir de forma sencilla conocimientos básicos sobre protección de datos.

Deja un comentario

Información básica sobre protección de datos

  • Responsable TicsLaw .
  • Finalidad Moderar los comentarios. Responder las consultas.
  • Legitimación Tu consentimiento.
  • Destinatarios Hostalia.
  • Derechos Acceder, rectificar y suprimir los datos.
  • Información Adicional Puedes consultar la información detallada en el Aviso Legal.