Protección de Datos Personales: Tratamiento, Derechos y Transferencias Internacionales
Concepto de Tratamiento, Principios y Base de Legitimación
Tratamiento: Cualquier operación realizada sobre datos personales o conjunto de estos, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación, modificación, consulta, uso, difusión o cualquier otra forma de habilitación de acceso (art. 4.2 RGPD). Tipos: Automatizado, no automatizado y parcialmente automatizado.
Principios del Tratamiento
- Licitud, lealtad y transparencia.
- Limitación de finalidad.
- Minimización de datos.
- Exactitud.
- Limitación del plazo de conservación.
- Integración y confidencialidad.
Se evoluciona desde un modelo que solo busca el control del cumplimiento a otro que busca una responsabilidad activa, exigiendo una valoración previa.
Responsabilidad Proactiva: Medidas y técnicas organizativas para garantizar el cumplimiento, revisar y actualizar todo cuando sea necesario, aplicar políticas de protección de datos, adherirse a códigos de conducta u obtener certificaciones aprobadas.
Bases de Legitimación (Art. 6 RGPD)
- Consentimiento.
- Intereses vitales.
- Relación contractual.
- Interés público.
- Obligación legal.
- Interés legítimo.
Consentimiento (4.11 RGPD): Toda manifestación de voluntad libre, específica, informada e inequívoca donde el interesado acepta (mediante una acción afirmativa) el tratamiento de datos personales.
Derechos de los Individuos
Características de los Derechos: Son gratuitos. El responsable está obligado a informarte sobre los medios para ejercitar estos derechos. Las solicitudes para dichos derechos deben responderse en 1 mes.
- Transparencia e Información (comunicar derechos de forma concisa, transparente, inteligible y de fácil acceso, lenguaje claro y sencillo) (12.1 y 12.7 RGPD).
- Derecho de acceso (confirmar si el responsable del tratamiento está tratando o no datos personales, obteniendo copia de dichos datos e información de ello).
- Derecho de Rectificación (rectificación de datos personales inexactos o completar aquellos incompletos mediante declaración adicional).
- Derecho de Oposición (oponerse al tratamiento de datos cuando se base en misión de interés público o interés legítimo, o haya como finalidad del tratamiento la mercadotecnia directa).
- Derecho de Supresión (si hay ciertas circunstancias: datos personales ya no necesarios para dichos fines, retirar el consentimiento al responsable, tratamiento ilícito de los datos, cumplimiento de obligación legal de la UE, objeto mercadotecnia directa…).
- Derecho al Olvido (el buscador o motor de búsqueda no ofrece resultados para el criterio de búsqueda, como para nombre y apellidos; la información no se borra, solo no aparece, se extiende a copias o réplicas de datos personales; no existe derecho al olvido para el registro de sociedades, tiene límites).
- Derecho a la Limitación del Tratamiento (puede solicitarse suspensión del tratamiento o conservar el tratamiento, distintas causas: no necesitar para los fines del tratamiento pero sí para ejercitar o defender reclamaciones).
- Derecho a la Portabilidad de los Datos (el interesado tendrá derecho a recibir los datos personales que haya facilitado a un responsable del tratamiento, en formato estructurado, de uso común y lectura mecánica).
- Derecho a no ser Objeto de Decisiones Individuales Automatizadas (incluye la elaboración de perfiles, que produzca efectos jurídicos sobre él o afecte significativamente de forma similar).
Encargado y Responsable del Tratamiento
Responsable (4.7 RGPD): Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
Encargado (4.8 RGPD): Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
Corresponsables del Tratamiento: Si una empresa presta servicios de guardería a través de una plataforma de internet y tiene contrato con otra empresa que le permite ofrecer servicios de valor añadido, y ambas empresas participan conjuntamente, a menudo compartiendo datos de clientes, serían corresponsables del tratamiento, no solo por ofrecer servicios combinados sino también por utilizar una plataforma común.
Responsabilidad del Responsable: Medidas técnicas y organizativas para garantizar y demostrar el cumplimiento, revisar y actualizar cuando sea necesario, aplicar políticas de protección de datos y adherirse a códigos de conducta u obtención de certificaciones.
Responsabilidad del Responsable y Encargado
- Responsable: Aplicar medidas técnicas y organizativas para garantizar y demostrar que el tratamiento cumple con el RGPD.
- Encargado: Derecho a indemnizar si incumple con el Reglamento o si hay daños y perjuicios. Sanción de hasta 10 millones o 2% del volumen de negocio total anual global del ejercicio anterior si incumplen obligaciones, tanto responsable como encargado.
Encargado del Tratamiento: El responsable elegirá un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas. Prohibición de recurrir a otro encargado sin autorización por escrito. Adhesión a un código de conducta.
Corresponsabilidad: Acuerdo de corresponsabilidad. Responsabilidades respectivas en el cumplimiento de las obligaciones impuestas en el RGPD, poniendo a disposición de los interesados los aspectos esenciales del acuerdo.
Autoridades de Control, Protección de Datos en la UE y Multas Administrativas
Autoridad de Control: Son autoridades públicas independientes que supervisan la aplicación de la legislación sobre protección de datos. Ofrecen asesoramiento experto en cuestiones sobre protección de datos y tramitan reclamaciones presentadas por la violación del Reglamento General de Protección de Datos.
Cada Estado miembro tendrá 1 o varias autoridades públicas independientes para supervisar la aplicación del Reglamento, protegiendo los derechos y libertades fundamentales de las personas físicas en cuanto al tratamiento y la libre circulación de sus datos personales. Las autoridades de control deben tener independencia, desarrollando sus funciones sin influencias externas. Hay que evitar poner en peligro el cumplimiento de la tarea de dichas autoridades.
Funciones de la Autoridad de Control (57.1 RGPD)
- Controlar la aplicación del RGPD:
- Promover la sensibilización del público, responsables y encargados del tratamiento.
- Tratar las reclamaciones presentadas.
- Cooperar con las autoridades de control.
- Aprobar criterios de certificación.
- Poderes de investigación:
- Llevar a cabo investigaciones en forma de auditorías.
- Notificar al responsable o al encargado las infracciones del Reglamento.
- Obtener acceso a cualquier equipo y medio de tratamiento de datos.
- Poderes Correctivos:
- Sancionar a todo responsable o encargado con una advertencia cuando las operaciones puedan infringir el Reglamento.
- Sancionar con apercibimiento cuando dichas operaciones infrinjan el Reglamento.
- Ordenar al responsable o encargado atender las solicitudes de ejercicio de derechos del interesado.
- Comunicar las violaciones de seguridad.
- Imponer multas administrativas.
- Poder de Autorización y Consultivo:
- Asesorar al responsable del tratamiento.
- Emitir dictámenes destinados a Parlamentos.
- Autorizar el tratamiento si así se requiere.
- Autorizar cláusulas contractuales.
- Autorizar acuerdos administrativos.
- Aprobar normas corporativas vinculantes.
CEPD (Comité Europeo de Protección de Datos): Organismo europeo independiente que contribuye a la aplicación coherente de las normas de protección de datos de la UE y promueve la cooperación entre las autoridades de protección de la UE.
Misión del CEPD: Garantizar la aplicación coherente del RGPD y la Directiva Europea sobre Protección de Datos en el ámbito policial.
Principios Rectores del CEPD: Independencia, imparcialidad, buena gobernanza, integridad, buena conducta, responsabilidad colegial, cooperación, transparencia, eficiencia, proactividad.
Funciones del CEPD (Art. 7 RGPD): Supervisar y garantizar la correcta aplicación del Reglamento, asesorar a la Comisión sobre cuestiones relativas a la protección de datos personales, emitir directrices, recomendaciones y buenas prácticas respecto de violaciones de seguridad y el criterio y requisitos para transferencias de datos personales.
Multas Administrativas
Las autoridades de protección de datos de cada Estado miembro impondrán multas en caso de cometer infracciones. En el caso de organismos públicos dentro de un Estado miembro (EM), será el EM el que decida en qué medida imponer dichas sanciones.
Factores para las Multas Administrativas: Naturaleza y gravedad de la infracción, intencionalidad y negligencia, grado de responsabilidad, infracciones previas, categorías de datos afectados por la infracción, forma de conocerse dicha infracción, grado de cooperación con la autoridad de control.
Un Estado miembro de la UE podría no establecer multas administrativas, siendo necesario unas vías de derecho efectivas y que tengan un efecto equivalente.
Derecho a no Recibir Llamadas Comerciales no Solicitadas
Ley 11/2022 General de Telecomunicaciones: Refuerza las garantías y los derechos de los usuarios.
Desde el 29 de junio de 2023, se aplican las siguientes garantías a las llamadas hechas por personas (no a los sistemas de marcación automática sin intervención humana):
- Si hay consentimiento, podrás recibir llamadas comerciales.
- El interés legítimo debe ser justificado por la empresa (vía relación previa con ella u ofreciendo productos o servicios similares a los contratados anteriormente con esta).
- Esta posibilidad solo se refiere a la empresa con la que hayas tenido relación, no con otras entidades (pese a ser el mismo grupo empresarial).
- Si la relación contractual está terminada y no hay interacción o solicitud durante 1 año, no pueden llamarte.
- Solo pueden llamar a números generados aleatoriamente siempre con consentimiento previo del usuario.
- Si tu número de teléfono figura en una guía de abonados, solo podrán usarlo para llamadas comerciales (siempre con consentimiento expreso del usuario, debe constar en las guías).
- Si figuras en un sistema de exclusión publicitaria (Lista Robinson), solo podrán hacerte llamadas comerciales si hay consentimiento específico para la empresa que te llama (puede ser revocado). Todas las empresas deben consultar este sistema.
- Si trabajas en una entidad donde figuras como contacto, podrás recibir llamadas comerciales para relacionarse con la entidad (no contigo a título personal).
- Si eres empresario o profesional libre, solo pueden hacerte llamadas comerciales relacionadas con tu actividad profesional o empresarial (no a título personal).
- Al inicio de cada llamada: Deberán informar de la identidad de la empresa, indicar la finalidad de la llamada, informar de la posibilidad de revocar el consentimiento o ejercer el derecho de oposición y deben grabarse las llamadas.
Transferencias Internacionales de Datos (TID)
No está definido en el RGPD o en la LOPDGDD. TID: Se considera TID toda transmisión de los mismos fuera del territorio español. Ya sean las que constituyan una cesión o comunicación de datos, o las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero.
Principio General de las TID en el RGPD: Solo se realizarán TID que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si el responsable y el encargado del tratamiento cumplen las condiciones establecidas, incluidas las relativas a transferencias de datos personales desde el tercer país u organización internacional a otro tercer país u organización.
Ciertos países cuentan con leyes de protección de datos menos estrictas. Otros poseen controles específicos, como por ejemplo «las licencias a la exportación».
Restricciones a las TID: Cuando hay falta de garantías en el país receptor sobre la legislación, restricciones a ciertas categorías de datos personales, evitar leyes políticas o prácticas que puedan crear obstáculos. Legitimidad del Libre Flujo de Datos: Transferencias ininterrumpidas y seguras, cuando el otro país cumple con las directrices o cuando existen garantías suficientes que aseguran el nivel de protección.
La Comisión debe tener en cuenta cómo un tercer país respeta el Estado de Derecho, la justicia y las normas internacionales. Debe tener en cuenta criterios y objetivos claros, actividades concretas del tratamiento y alcance de las normas jurídicas. El tercer país debe ofrecer garantías para asegurar un nivel de protección adecuado, similar al de la UE. El tercer país debe garantizar un control independiente de la protección de datos y establecer mecanismos de cooperación con las autoridades de protección. La legislación interna y los compromisos internacionales del tercer país deben velar por una protección de las libertades y derechos fundamentales.
Mecanismos en el RGPD para la TID
- Decisión de adecuación de la Comisión Europea.
- Instrumentos alternativos (cláusulas contractuales estándar, normas corporativas vinculantes, códigos de conducta, mecanismos de certificación).
Excepciones en Ausencia de Adecuación: Consentimiento o ejecución de un contrato; razones importantes de interés público; interés legítimo en TID sin necesidad de autorización.
Responsables y Encargados: Siempre podrán realizar TID sin necesidad de autorización de la AEPD siempre que el tratamiento de los datos siga el RGPD en cuanto a los siguientes supuestos: transferencias basadas en decisión de adecuación, excepciones para situaciones específicas y aportación de garantías adecuadas.