Skip to content

Tema 2: Protección de Datos Personales (I)

📝 Resumen Ejecutivo

Esta sesión establece los fundamentos de la privacidad como derecho fundamental, centrándose en el Reglamento General de Protección de Datos (RGPD) como norma marco europea aplicable directamente. Se definen conceptos críticos como "dato personal" (identificado vs. identificable) y "tratamiento", además de desglosar los principios rectores que obligan a las empresas (licitud, minimización, responsabilidad proactiva). Finalmente, se abordan las garantías necesarias para las transferencias internacionales de datos y la obligación de mantener un Registro de Actividades del Tratamiento, elemento central para la práctica de la asignatura.

🔑 Conceptos Clave

  • RGPD (GDPR): Norma europea de aplicación directa que regula el tratamiento de datos.
  • Dato Personal: Cualquier información sobre una persona física identificada o identificable.
  • Tratamiento: Cualquier operación realizada sobre datos personales (desde la recogida hasta la simple conservación).
  • Responsable del Tratamiento: Quien decide el "fin" y los "medios" (el qué y el cómo).
  • Encargado del Tratamiento: Quien trata los datos por cuenta del responsable (ej. una gestoría).
  • Responsabilidad Proactiva (Accountability): Obligación no solo de cumplir la norma, sino de poder demostrar dicho cumplimiento.
  • Registro de Actividades de Tratamiento (RAT): Documento interno obligatorio que detalla qué datos se tratan y cómo.

📚 Desarrollo del Temario

1. Marco Normativo y Derecho Fundamental

La protección de datos no es una prohibición de uso, sino una regulación basada en derechos fundamentales. * Base Legal: Nace de la Carta Europea de Derechos Humanos y, en España, de la Constitución (Art. 18.1 y 18.4), que garantiza el honor, la intimidad y limita el uso de la informática. * Evolución Normativa: * LORTAD (1992): Solo regulaba datos automatizados. * LOPD (1999): Regulaba datos personales independientemente del soporte. * RGPD (2016/2018): Norma actual. Es un Reglamento Europeo, lo que significa que es de aplicación directa en todos los países de la UE sin necesidad de transposición, a diferencia de las Directivas. * LOPDGDD (3/2018): Ley Orgánica española que desarrolla aspectos específicos del RGPD.

¡OJO AL DATO!: La normativa europea es la más estricta ("garante") del mundo. Si cumples el RGPD (aprox. 90%), prácticamente cumples con la normativa de cualquier otro país (Latinoamérica, etc.) que suelen inspirarse en ella.

2. Definiciones Críticas (Art. 4 RGPD)

A. Dato Personal

Es toda información sobre una persona física identificada o identificable. * Identificada: Sabemos directamente quién es (Nombre + Apellidos). * Identificable: No sabemos quién es directamente, pero podemos averiguarlo cruzando datos o mediante un proceso no desproporcionado.

Ejemplo del Profesor (El Médico de la Calle Pascual): Si decimos "En la calle Pascual (donde viven 200 personas) hay un médico", no sabemos quién es. Pero si añadimos: "Es cardiólogo, tiene 60 años, coche rojo y es soltero", acabamos identificando a "Pepe Pérez" sin haber usado su nombre inicialmente. Eso es un dato personal porque hace a la persona identificable.

B. Tratamiento de Datos

Cualquier operación o conjunto de operaciones. El profesor enfatiza que casi todo es tratamiento, no solo "usar" los datos. * Incluye: Recogida, registro, modificación, consulta, interconexión, supresión y conservación. * Nota: Guardar datos en un cajón o servidor (aunque no los mires) ya es tratamiento ("conservación") y exige cumplir la norma.

C. Roles

  • Interesado: El dueño de los datos (tú). Nota: Las empresas no tienen datos personales, solo las personas físicas.
  • Responsable del Tratamiento: La empresa/entidad que decide para qué se usan los datos (ej. Mi empresa tiene empleados).
  • Encargado del Tratamiento: Tercero que presta un servicio usando esos datos (ej. Una gestoría externa que hace las nóminas de mis empleados).

3. Principios del RGPD (Art. 5)

Si no puedes cumplir estos principios, no debes tratar los datos. No hay prohibición, hay exigencia de cumplimiento.

  1. Licitud, Lealtad y Transparencia: Debes tener una base legal (consentimiento, contrato, ley) y el usuario debe saber que tienes sus datos.
  2. Limitación de la Finalidad: Los datos se recogen para un fin concreto y no se pueden usar para otro incompatible. > Ejemplo del Profesor (Revista de la Bicicleta): > Si recojo datos para enviarte una revista de bicicletas, no puedo usarlos luego para venderte productos de adultos o seguros de vida.
  3. Minimización de Datos: Solo pedir lo estrictamente necesario.
    • Ejemplo: Para enviar la revista solo necesito Nombre + Dirección. No necesito saber tu sueldo, ni si estás casado.
  4. Exactitud: Los datos deben estar actualizados. Si son erróneos, deben corregirse o borrarse.
  5. Limitación del Plazo de Conservación: Mantenerlos solo mientras sirvan al fin o la ley obligue (ej. datos fiscales 4 años, datos médicos más tiempo por normativa específica).
  6. Integridad y Confidencialidad: Seguridad para evitar accesos no autorizados o pérdidas.
  7. Responsabilidad Proactiva (Accountability): El responsable debe ser capaz de demostrar que cumple los principios (mediante auditorías, registros, contratos, etc.).

4. Transferencias Internacionales de Datos

Ocurre cuando los datos salen del Espacio Económico Europeo (EEE). Es crítico porque fuera de la UE no se garantiza la misma protección y la UE no tiene jurisdicción para sancionar en China o India.

¿Cuándo se permiten?: 1. Decisión de Adecuación: La Comisión Europea decide que un país es seguro (ej. Canadá, Argentina, Suiza, Japón, Reino Unido). 2. Garantías Adecuadas: Si el país no es seguro, la empresa debe firmar cláusulas contractuales tipo (SCC) o tener Normas Corporativas Vinculantes (para multinacionales). 3. Excepciones: Consentimiento explícito del usuario, ejecución de un contrato (ej. reservar un hotel en Bahamas: hay que enviar los datos allí para que te reserven la habitación), o interés vital (emergencia médica en el extranjero).

5. Registro de Actividades del Tratamiento (RAT)

Es el "mapa" de los datos que tiene una organización. Sustituye a la antigua inscripción de ficheros. Es obligatorio según el Artículo 30 del RGPD.

Contenido obligatorio del RAT: 1. Datos del Responsable (y encargado si aplica). 2. Fines del tratamiento (¿Para qué?). 3. Categorías de interesados (empleados, clientes, proveedores) y de datos (económicos, salud, identificativos). 4. Destinatarios (a quién se ceden). 5. Transferencias internacionales (si las hay). 6. Plazos de supresión. 7. Medidas de seguridad técnicas y organizativas.

🎓 Notas para la Actividad Práctica (Evaluación)

El profesor dedicó la última parte a explicar la Actividad 1.

  • Objetivo: Crear un Registro de Actividades de Tratamiento (RAT).
  • Escenario: Eres el responsable de datos de un Ministerio (página web real mostrada: MITECO).
  • El Error Común: No se pide hacer el registro de los datos de "precios de carburantes".
  • Lo que hay que hacer: Hacer el registro del tratamiento de los datos de los ciudadanos que solicitan Ejercer sus Derechos (Acceso, Rectificación, Supresión, etc.) a través de los formularios de la web.
    • Pista: Debes agrupar todos los derechos (Acceso, Rectificación, Oposición, etc.) en un único registro, no hacer uno por cada derecho.
  • Extensión: Con 3 carillas es suficiente. No se busca un dosier, sino una tabla o ficha concreta y precisa con los campos del Art. 30.

❓ Preguntas de Autoevaluación

  1. ¿Cuál es la diferencia principal entre un Responsable del Tratamiento y un Encargado del Tratamiento?

    • Respuesta: El Responsable decide el fin y los medios (es el "dueño" de la decisión), mientras que el Encargado trata los datos por cuenta del Responsable para prestarle un servicio (ej. gestión de nóminas).

  2. ¿Puede una empresa conservar los datos de un cliente indefinidamente bajo el principio de limitación de conservación?

    • Respuesta: No. Deben conservarse solo el tiempo necesario para la finalidad. Sin embargo, ciertas leyes (fiscales, sanitarias) pueden obligar a bloquearlos y conservarlos durante un plazo específico (ej. 4 o 5 años para Hacienda).

  3. Si una empresa europea almacena sus datos en un servidor ubicado en Vietnam, ¿se considera Transferencia Internacional? ¿Qué necesita para ser legal?

    • Respuesta: Sí, es una transferencia internacional. Para ser legal, dado que Vietnam no tiene decisión de adecuación (mencionada en clase), se necesitarían garantías adecuadas como Cláusulas Contractuales Tipo o el consentimiento explícito del interesado.

  4. Según el RGPD, ¿qué hace que una persona sea "identificable" en lugar de "identificada"?

    • Respuesta: Que se pueda determinar su identidad mediante el cruce de información adicional (ej. puesto de trabajo + dirección + edad) sin que figure su nombre explícito inicialmente.

  5. ¿Es válido el consentimiento si la casilla viene pre-marcada en un formulario web?

    • Respuesta: No. El consentimiento debe ser una acción afirmativa clara (opt-in). Las casillas pre-marcadas o el silencio no constituyen consentimiento válido.