Skip to content

Tema 3: Protección de Datos (II) - Derechos, Legitimación y Responsabilidad

📝 Resumen Ejecutivo

Esta sesión completa la visión del RGPD abordando tres pilares fundamentales: los derechos de los interesados (cómo ejercitarlos y atenderlos), la legitimación (las 6 bases legales obligatorias para poder tratar datos) y las responsabilidades proactivas del Responsable y Encargado del tratamiento (seguridad, brechas y figuras de control como el DPO).

🔑 Conceptos Clave

  • Derechos Personalísimos: Solo pueden ser ejercidos por el titular de los datos o un apoderado legal.
  • Legitimación (Licitud): Base legal necesaria (Art. 6 RGPD) para que un tratamiento de datos sea válido.
  • Principio de Responsabilidad Proactiva (Accountability): No basta con cumplir, hay que demostrar que se cumple mediante evidencias.
  • Encargado del Tratamiento: Entidad externa que trata datos por cuenta del Responsable (ej. una gestoría).
  • Privacidad desde el Diseño: Aplicar medidas de seguridad antes de iniciar cualquier tratamiento.
  • DPO (Delegado de Protección de Datos): Figura independiente que asesora y supervisa el cumplimiento normativo.

📘 Desarrollo del Temario

1. Derechos de los Interesados (Art. 12 a 23 RGPD)

Los interesados (nosotros) tenemos poder de disposición sobre nuestros datos. La normativa no prohíbe tratar datos, pero exige cumplir requisitos y atender estos derechos.

Características Generales

  • Personalísimos: Solo el titular puede pedirlos. No puede ir un cónyuge a pedir los datos de su pareja sin un apoderamiento legal certificado (no vale un simple "me ha dicho mi mujer").
  • Procedimiento Libre: El usuario no está obligado a usar un formulario específico de la empresa; puede enviar un email o un audio, y es válido siempre que llegue al destino correcto.
  • Garantía de Identificación: Se debe verificar quién pide los datos, pero ¡OJO AL DATO!: No se deben pedir datos excesivos. Si un servicio se presta solo con el correo electrónico (ej. una newsletter), pedir el DNI para ejercer un derecho sería desproporcionado.
  • Plazo de Respuesta: 30 días desde la solicitud.
    • Nota del profesor: Es muy difícil justificar una prórroga hoy en día. Si en 30 días no encuentras la información, tienes un problema grave de organización.

Tipología de Derechos (Lista ARCO-POL) :

  1. Información: Transparencia por capas (primera capa básica + segunda capa detallada) al recoger el dato.
  2. Acceso: El usuario pregunta "¿Qué datos tienes de mí?". Es gratuito y da derecho a copia.
  3. Rectificación: Modificar datos erróneos. A veces requiere justificación (ej. cambio de nombre en DNI).
  4. Supresión (Derecho al Olvido): Borrar datos cuando ya no son necesarios para la finalidad inicial. > Ejemplo: No es necesario mantener publicado en una web que una persona cometió un delito hace 20 años si la pena ya prescribió.
  5. Limitación: "Congelar" los datos. No se borran (se conservan por si hacen falta para defensa legal), pero no se tratan.
  6. Oposición: El usuario se niega a un tratamiento basado en interés público o legítimo (ej. publicidad no deseada).
  7. Portabilidad: Recibir los datos en formato estructurado e informático (CSV, XML) para llevarlos a otro proveedor.
  8. Decisiones Automatizadas: Derecho a no ser objeto de una decisión basada únicamente en algoritmos (IA) que produzca efectos jurídicos (ej. que una IA te deniegue un trabajo o un crédito sin intervención humana).

2. Legitimación o Licitud del Tratamiento (Art. 5 y 6 RGPD)

¡OJO AL DATO!: Para tratar datos legalmente, debes cumplir al menos una de estas 6 condiciones. Si no cumples ninguna, el tratamiento es ilegal.

  1. Consentimiento del Interesado: Debe ser explícito, libre e informado. El "consentimiento tácito" (si no dices nada, acepto) ya no es válido. > Advertencia: En el ámbito laboral, el consentimiento suele considerarse "no libre" porque el empleado teme represalias si dice que no.
  2. Ejecución de un Contrato: Necesario para dar el servicio. > Ejemplo: Si contratas luz, la eléctrica necesita tus datos para facturar. No puedes negarte si quieres el servicio.
  3. Obligación Legal: Una ley obliga a tratar los datos (ej. emitir facturas para Hacienda, datos a la Seguridad Social).
  4. Interés Vital: Situación de vida o muerte (ej. un hospital accede a tu historial si llegas inconsciente).
  5. Interés Público / Poder Público: Administración pública, policía, investigación judicial.
  6. Interés Legítimo del Responsable: Permite tratar datos sin consentimiento explícito si hay una relación previa y no perjudica al usuario. > Ejemplo: Una empresa puede enviarte publicidad de productos similares a los que ya compraste, pero debe permitirte oponerte (opt-out). También aplica a medidas de ciberseguridad en una web.

3. Responsabilidades y Obligaciones (Art. 24 a 43 RGPD)

El Principio de Responsabilidad Proactiva obliga a demostrar el cumplimiento mediante políticas, registros y certificaciones.

A. Relación Responsable - Encargado

  • Responsable del Tratamiento: Quien decide la finalidad ("quiero enviar nóminas").
  • Encargado del Tratamiento: Quien ejecuta el tratamiento por cuenta del responsable (ej. la gestoría que procesa las nóminas, el proveedor de Cloud como AWS o Google).
  • Obligación: Debe existir un contrato por escrito que regule seguridad, confidencialidad y destino de los datos. El Responsable debe vigilar que el Encargado sea fiable (ej. no contratar una gestoría famosa por perder datos).

B. Protección desde el Diseño y por Defecto

No vale "crear la base de datos y luego ver si es legal". Hay que analizar los riesgos y aplicar medidas técnicas antes de iniciar el tratamiento.

C. Registro de Actividades del Tratamiento (RAT)

Sustituye al antiguo registro de ficheros. Es un inventario interno obligatorio (qué datos trato, para qué, a quién se los cedo).

D. Seguridad y Notificación de Brechas (Art. 32-34)

  • Medidas de Seguridad: Se definen tras un Análisis de Riesgos. No es lo mismo proteger una lista de emails que historiales clínicos.
    • Nota: La seguridad 100% no existe, pero hay que poner todos los medios posibles.
  • Notificación de Quiebras ("Brechas"):
    • A la Autoridad de Control (AEPD): Plazo máximo de 72 horas desde que se conoce la brecha.
    • A los Interesados: Solo si existe un Alto Riesgo para sus derechos (ej. robo de tarjetas de crédito o contraseñas, para que puedan cambiarlas).

E. Evaluación de Impacto (PIA)

Obligatoria para tratamientos de alto riesgo (perfilado masivo, datos biométricos, datos de salud, vigilancia a gran escala).

F. Delegado de Protección de Datos (DPO)

  • Función: Asesorar, supervisar y cooperar con la AEPD.
  • Requisito clave: Debe ser Independiente. No puede recibir instrucciones sobre cómo tratar los datos. > Ejemplo de conflicto: El Director de IT no debería ser DPO porque se estaría auditando a sí mismo. Un cocinero tampoco, a menos que sea experto en leyes. Puede ser interno o externo.

4. Régimen Sancionador (Art. 83 RGPD)

Las multas son disuasorias y escalables según la gravedad y el volumen de negocio: * Hasta 10 millones € o 2% facturación anual (infracciones de obligaciones del responsable/encargado). * Hasta 20 millones € o 4% facturación anual (infracciones de Principios básicos o Derechos). * Realidad: Las multas máximas suelen ser para gigantes tecnológicos (Google, Meta). A una PYME se le aplica proporcionalidad.

🧠 Preguntas de Autoevaluación

  1. Si contrato un servicio de Cloud Computing para alojar los datos de mis clientes, ¿qué figura es el proveedor del Cloud?

    • a) Responsable del tratamiento.
    • b) Delegado de Protección de Datos.
    • c) Encargado del tratamiento.
    • Respuesta correcta: c)

  2. ¿Cuál es el plazo máximo obligatorio para responder a un derecho de acceso solicitado por un usuario?

    • a) 10 días.
    • b) 72 horas.
    • c) 30 días.
    • Respuesta correcta: c)

  3. Una empresa sufre un robo de portátiles con datos médicos no cifrados. ¿A quién debe notificar obligatoriamente?

    • a) Solo a la policía.
    • b) A la Autoridad de Control (72h) y probablemente a los afectados (por ser alto riesgo).
    • c) No es necesario notificar si tienen copia de seguridad.
    • Respuesta correcta: b)

  4. ¿Es legal tratar datos basándose únicamente en el "consentimiento tácito" (el usuario no dijo que no)?

    • a) Sí, si se le informó previamente.
    • b) No, el consentimiento debe ser explícito e inequívoco.
    • Respuesta correcta: b)