▷ Regístrate Gratis a Nuestra Revista

Algunos beneficios de registrarse en nuestra revista:

El registro te permite consultar todos los contenidos y archivos de Lawi desde nuestra página web y aplicaciones móviles, incluyendo la app de Substack.
Registro (suscripción) gratis, en 1 solo paso.
Sin publicidad ni ad tracking. Y puedes cancelar cuando quieras.
Sin necesidad de recordar contraseñas: con un link ya podrás acceder a todos los contenidos.
Valoramos tu tiempo: Recibirás sólo 1 número de la revista al mes, con un resumen de lo último, para que no te pierdas nada importante
El contenido de este sitio es obra de 23 autores. Tu registro es una forma de sentirse valorados.

Datos Personales

Este elemento es una ampliación de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema.

Índice de Contenidos

Noción de Datos Personales

En materia de empleo y relaciones laborales en la Unión Europea y/o España, se ha ofrecido [1], respecto de datos personales, la siguiente definición: Aquellos que se refieren a los rasgos o caracteres de la persona y de su entorno familiar, y que pueden afectar a la intimidad o a la vida privada, especialmente si son datos sensibles -creencia, ideología, salud, raza, vida sexual, etc.-. Disposiciones legales y comunitarias recientes (Directiva 95/46/CE, de 24 de octubre, y Ley Orgánica 5/1992, de 29 de octubre) regulan la recogida y el uso de los datos personales en distintas esferas de la vida social con objeto de proteger al individuo frente a la divulgación o utilización indebida de los mismos, especialmente con ocasión de su tratamiento automatizado. El ámbito de las relaciones de trabajo es uno de los campos principales de aplicación de esta legislación, ya que las empresas, y también los sindicatos y las Administraciones públicas, suelen disponer de archivos de datos personales de los empleados o afiliados, obtenidos por diversas vías: cuestionarios de admisión (véase qué es, su definición, o concepto jurídico), currículos, entrevistas de selección y de promoción, reconocimientos médicos, hojas de servicios, copias básicas de los contratos, etc. La recogida y uso de estos datos debe regirse por los principios de racionalidad, y consentimiento informado del interesado.

Tratamiento de datos amparado por la ley

El artículo 6.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que derogó la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre, regula los supuestos distintos de licitud del tratamiento. Sumariamente, dicho artículo 6.1 considera que el tratamiento solo puede ser considerado como lícito cuando concurra, alternativamente, uno de los siguientes escenarios:

consentimiento del interesado;

tratamiento necesario para la ejecución de un contrato (o medidas precontractuales);

tratamiento necesario para el cumplimiento de una obligación legal;

tratamiento necesario para proteger intereses vitales;

tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

tratamiento necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Apartados 1 y 2

Para los casos previstos en las letras c) y e) (obligación legal y misión de interés público), el artículo 6.2 del Reglamento general habilita expresamente a los Estados miembros a “mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento” con respecto a los tratamientos fundados en esas circunstancias, “fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo (…)”. Asimismo, el artículo 6.3 del Reglamento señala que la base del tratamiento indicado en esas letras deberá ser establecida por el Derecho de la Unión o por el Derecho de los Estados miembros que se aplique al responsable del tratamiento, y dicha base jurídica “podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados, las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido”.

El apartado 3 del artículo 9 del Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal de España, que desarrolla para este país el Reglamento, dispone lo siguiente:

▷ En este Día de 25 Abril (1809): Firma del Tratado de Amritsar

Charles T. Metcalfe, representante de la Compañía Británica de las Indias Orientales, y Ranjit Singh, jefe del reino sij del Punjab, firmaron el Tratado de Amritsar, que zanjó las relaciones indo-sijas durante una generación. Véase un análisis sobre las características del Sijismo o Sikhismo y sus Creencias, una religión profesada por 14 millones de indios, que viven principalmente en el Punjab. Los sijs creen en un único Dios (monoteísmo) que es el creador inmortal del universo (véase más) y que nunca se ha encarnado en ninguna forma, y en la igualdad de todos los seres humanos; el sijismo se opone firmemente a las divisiones de casta. Exatamente 17 años antes, la primera guillotina se erigió en la plaza de Grève de París para ejecutar a un salteador de caminos.

“La ley podrá considerar fundado un determinado tratamiento en la concurrencia de un interés legítimo del responsable del tratamiento o de un tercero que prevalece sobre los derechos del afectado, en los términos previstos en el artículo 6.1 f) del Reglamento (UE) 2016/679.Entre las Líneas En estos supuestos, la ley podrá exigir al responsable la adopción de garantías adicionales.

Lo dispuesto en el párrafo anterior no impide que el tratamiento de datos personales pueda considerarse lícito al amparo del artículo 6.1 f) del Reglamento (UE) 2016/679, aun cuando no exista una previsión legal específica”.

Según manifiesta en su informe de 11 de julio de 2017 la Agencia Española de Protección de Datos, este precepto del Anteproyecto “se refiere a los múltiples supuestos existentes en nuestro derecho en los que existe una norma con rango de Ley habilitante de un determinado tratamiento de datos que no lo impone como consecuencia de una obligación legal ni hace referencia al ejercicio de potestades de derecho público”. Se considera, en definitiva, que, “sin perjuicio de la aplicación directa de la regla de prevalencia del interés legítimo, el legislador podrá recoger supuestos en los que aprecie la existencia de una presunción favorable a dicha prevalencia o considere que la misma se podría producir en caso de que el tratamiento adopte una serie de garantías adicionales”.Entre las Líneas En estos supuestos, dice la Agencia, los responsables no tendrían que acudir a la regla de ponderación, dado que la Ley la habría verificado con anterioridad. Se trata, en definitiva, de “otorgar seguridad jurídica a los operadores, que podrán considerar de aplicación la regla de equilibrio del artículo 6.1.f) del Reglamento sin quedar pendientes de que la misma sea efectivamente confirmada por las autoridades de protección de datos y los órganos jurisdiccionales”.

Ahora bien, el encomiable esfuerzo del Anteproyecto por proteger la seguridad jurídica no le legitima para sobrepasar el estrecho margen de actuación que el Reglamento reconoce a los Estados miembros en la regulación de esta materia.

A estos efectos, debe comenzar recordándose que, a diferencia de lo que ocurre con la regulación de los supuestos legitimadores de las letras c) y e) del artículo 6.1, el Reglamento no efectúa ninguna llamada expresa al desarrollo y concreción por los Estados miembros del supuesto contemplado en la letra f) de ese artículo.Entre las Líneas En línea de principio, por consiguiente, y en ausencia de una habilitación implícita en este sentido, debe negarse toda competencia de los Estados miembros para imponer por vía normativa exigencias adicionales que vengan a modificar el alcance de esta hipótesis legitimadora del tratamiento.

Así lo ha afirmado el Tribunal de Justicia de la Unión en su Sentencia de 24 de noviembre de 2011, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y Federación de Comercio Electrónico y Marketing Directo (FECEMD) (asuntos acumulados C-468/10 y C-469/10), al examinar la compatibilidad del artículo 10.2.b) del Reglamento de la Ley Orgánica 15/1999 con el artículo 7 de la Directiva 95/46, en la que se enumeraban los casos en que un tratamiento de datos personales puede considerarse lícito.Entre las Líneas En un criterio reiterado en jurisprudencia posterior (en particular, STJUE de 19 de octubre de 2016, Breyer, C-582/14), el Tribunal señaló que “los Estados miembros no pueden ni añadir al artículo 7 de la Directiva 95/46 nuevos principios relativos a la legitimación de los tratamientos de datos personales ni imponer exigencias adicionales que vendrían a modificar el alcance de alguno de los seis principios establecidos en dicho artículo” (STJUE ASNEF, apartado 32).

En particular, el artículo 7.f) de la Directiva -precepto paralelo al artículo 6.1.f) del Reglamento general aquí en cuestión- establecía dos requisitos acumulativos para que un tratamiento de datos personales fuese lícito, a saber, por una parte, que ese tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos y, por otra parte, que frente a ese interés no prevalezcan los derechos y libertades fundamentales del interesado. Añade la Sentencia que “el segundo de esos requisitos exige una ponderación de los derechos e intereses en conflicto, que dependerá, en principio, de las circunstancias concretas del caso particular de que se trate”, y que “corresponde a los Estados miembros, a la hora de adaptar su ordenamiento jurídico a la Directiva 95/46, procurar basarse en una interpretación de ésta que les permita garantizar un justo equilibrio entre los distintos derechos y libertades fundamentales protegidos por el ordenamiento jurídico de la Unión”, para en fin concluir que “si una normativa nacional excluye la posibilidad de tratar determinadas categorías de datos personales, estableciendo con carácter definitivo el resultado de la ponderación de los derechos e intereses en conflicto respecto de tales categorías, sin permitir un resultado diferente en atención a las circunstancias de cada caso concreto, no se trata ya de una precisión en el sentido del citado artículo 5” (STJUE ASNEF, apartados 40, 43 y 47; en el mismo sentido, STJUE Breyer, antes citada, apartado 62).

Este sería el resultado del artículo 9.3 del Anteproyecto. Al prever que el legislador español efectúe la ponderación de intereses prevista en el artículo 6.1.f) del Reglamento general para determinados tratamientos, se impide de facto en estos supuestos la ponderación del interés legítimo del responsable del tratamiento con los derechos y libertades del interesado a la luz de las circunstancias del caso concreto; se permite establecer con carácter definitivo, en resumen, el resultado de esa valoración relativa, atendiendo al cumplimiento de las condiciones y garantías adicionales que, de acuerdo con el Anteproyecto, la ley podría exigir.

La Agencia Española de Protección de Datos alega en su informe que la Sentencia del Tribunal Supremo en el asunto ASNEF (STS de 8 de febrero de 2012), dictada tras la contestación por el Tribunal de Justicia a sus cuestiones prejudiciales, aunque declara nulo el requisito contemplado en el artículo 10.2.b) del Reglamento de desarrollo de la Ley Orgánica 15/1999 por resultar contrario a la Directiva de protección de datos, rechaza la impugnación del artículo 10.2.a) de la misma norma reglamentaria, en el que se prevé como excepción al consentimiento del interesado para el tratamiento de datos el que lo autorice la ley o una norma comunitaria, recordando que dicho precepto no fue objeto de las cuestiones planteadas al Tribunal de Justicia y argumentando que “no se observó entonces, ni se observa ahora, confrontación entre la norma reglamentaria y la comunitaria (…) lejos de apreciarse un criterio restrictivo en la norma reglamentaria con respecto a la comunitaria, lo que se aprecia es la previsión en el reglamento de un supuesto habilitador no expresamente previsto en la norma comunitaria”.

Ha de recordarse, no obstante, que el marco normativo europeo entonces en cuestión estaba formado por una Directiva, norma que carece del efecto directo de los Reglamentos, por lo que los Estados disponían de un margen de actuación más amplio en orden a su transposición. (Tal vez sea de interés más investigación sobre el concepto). Por otra parte, el Tribunal Supremo añadió también en la citada resolución que “podría observarse una adición limitativa si la ley nacional habilitadora estableciera condiciones a los supuestos previstos en el artículo 7 de la Directiva (…)”, circunstancia que cabría apreciar en este caso, dado que el artículo 9.3 del Anteproyecto prevé precisamente que la ley pueda exigir al responsable de un tratamiento de datos que ostente un interés legítimo garantías adicionales para considerar lícito dicho tratamiento.

▷ Lo último (abril 2024)

Lo último publicado esta semana de abril de 2024 en esta plataforma digital:

Ocultismo

Hebreos

Gestión de Riesgos Asegurables

▷ Noticias internacionales de hoy por nuestros amigos de la vanguardia (nota: en muchas noticias tienen muro de pago):

Aunque sea en aras a una siempre deseable mayor seguridad jurídica, por tanto, ha de concluirse el legislador español no puede sustituir con supuestos legalmente tasados la flexibilidad que el legislador comunitario ha querido en apariencia atribuir a la aplicación del artículo 6.1.f) del Reglamento general.

Por una parte, a diferencia de lo previsto para otros supuestos del mismo artículo 6.1, el precepto no efectúa una habilitación expresa a los Estados miembros para desarrollar el principio de legitimación del tratamiento contemplado en su letra f). Por otra parte, tampoco parece que de su redacción pueda deducirse una habilitación implícita para llevar a cabo una determinación a nivel nacional, con carácter definitivo, del resultado de la ponderación de los derechos e intereses en conflicto en una serie de casos concretos. Tal interpretación choca frontalmente con lo señalado por el Tribunal de Justicia en su jurisprudencia ASNEF y Breyer y no puede olvidarse que, si bien la determinación por cada Estado miembro, a nivel legislativo, de los casos en los que puede entenderse que hay interés legitimador del tratamiento de datos y aquéllos en los que no podría contribuir a generar una mayor inseguridad jurídica a nivel nacional, al mismo tiempo produciría una fragmentación del marco normativo a nivel europeo contraria al objetivo armonizador perseguido por el Reglamento y que obstaculizaría la libre circulación de los datos personales, finalidad última de la reglamentación europea.

Basado en la experiencia de varios autores, mis opiniones y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características y el futuro de esta cuestión):

En fin, de la jurisprudencia citada y del propio tenor literal del Reglamento se desprende que el modelo querido por el legislador europeo se caracteriza por un alto grado de flexibilidad en la aplicación de este supuesto de licitud de los tratamientos de datos personales.

Se trata, en definitiva, de atribuir al responsable del tratamiento la responsabilidad de efectuar la correspondiente ponderación de intereses, sin perjuicio de su ulterior control por la Agencia y, en su caso, por las autoridades judiciales. El diseño, en una norma legal, de las condiciones mínimas que ha de reunir un determinado tratamiento para que pueda concluirse que el interés legítimo del responsable prevalece sobre los derechos e intereses de los afectados va en contra de esa concepción, razón por la que, a juicio del Consejo de Estado, la introducción de una norma como la contenida en el artículo 9.3 del Anteproyecto no puede hacerse sin riesgo de incurrir en un incumplimiento de la norma europea.

Ciertamente, el párrafo segundo del artículo 9.3 aquí examinado establece la cautela de que esa ponderación de derechos e intereses que en su caso efectúe el legislador “no impide que el tratamiento de datos personales pueda considerarse lícito al amparo del artículo 6.1.f) del Reglamento (UE) 2016/679, aun cuando no exista una previsión legal específica”.

Puntualización

Sin embargo, este caveat no resulta suficiente para declarar conforme al Reglamento la previsión del artículo 9.3 en su conjunto, pues el problema serán precisamente los casos en los que sí exista una previsión legal específica, y ésta, de conformidad con lo establecido en el artículo 9.3 del Anteproyecto, efectúe la citada ponderación; aunque ello no impidiese que, cuando no se cumplan los requisitos establecidos en la Ley, en atención a las circunstancias (y en aplicación directa del Reglamento) un determinado tratamiento pueda considerarse lícito al amparo del artículo 6.1.f) del Reglamento general, los supuestos en los que sí se verificaran todas las condiciones de esa Ley serían necesariamente lícitos, lo que claramente excede el marco trazado por el legislador comunitario.

Por estos motivos, el Consejo de Estado considera que debe eliminarse la disposición contenida en el artículo 9.3 del Anteproyecto.

Esta observación tiene carácter esencial, a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.

Sin perjuicio de cuanto acaba de observarse, ante la indudable conveniencia de garantizar el máximo grado de seguridad jurídica posible ofreciendo a los operadores ciertas guías en su actuación, sin perjuicio de respetar la aplicabilidad directa del Reglamento Europeo y, en todo caso, con el objetivo de asegurar su efecto útil, el Consejo de Estado desea apuntar, como solución alternativa, la posibilidad de introducir por vía legislativa, en casos puntuales, simples presunciones iuris tantum favorables a la prevalencia del interés legítimo del responsable del tratamiento cuando se cumplan determinados requisitos o condiciones.

Esta solución podría resultar conforme a la flexibilidad en la ponderación de intereses y al principio de responsabilidad proactiva del responsable del tratamiento que, como se indicó, persigue la nueva regulación comunitaria. Asimismo, la previsión de simples presunciones salvo prueba en contrario tendría encaje en la jurisprudencia analizada, que prohíbe establecer en una norma nacional el resultado de la citada ponderación “con carácter definitivo (…), sin permitir un resultado diferente”, obstáculo que la solución alternativa aquí propuesta permitiría, en principio, evitar.

Con todo, la introducción de las presunciones citadas en la Ley cuyo Anteproyecto aquí se dictamina o en otros textos legales, deberá hacerse en textos con rango de ley y en términos que no dejen lugar a dudas, en primer lugar, sobre el carácter de presunción iuris tantum, destruible con prueba en contrario, de la regulación que se efectúa; y, en segundo lugar, sobre el efecto directo del Reglamento Europeo en relación con esta cuestión (lo que exigiría la introducción en todos los casos de la salvedad “Sin perjuicio de lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/699”).

Seguridad y privacidad de datos

En todo el mundo, prácticamente todas las jurisdicciones han establecido sus propios marcos jurídicos de seguridad y privacidad de datos con los que las empresas deben, incluyendo, por ejemplo, la Directiva 95/46/EC sobre el
protección de las personas en lo que respecta al tratamiento de los datos personales y a la libre circulación de dichos datos, la Directiva de protección de datos establecida en la Unión Europea, y la legislación de protección de datos de la UE individual los Estados miembros sujetos a la Directiva de protección de datos.

La Directiva de protección de datos se sustituirá por el Reglamento general europeo de protección de datos en mayo de 2018, que impondrá obligaciones y riesgos adicionales a numerosas empresas, especialmente las dedicadas a la producción y distribución de software.

Otros Elementos

Además, el número de acciones coercitivas y la severidad de las consecuencias por el incumplimiento son también aumentando.

En el pasado, hemos confiado en la adherencia a los principios de privacidad de Safe Harbor y el cumplimiento de la
Marco de puerto seguro Estados Unidos-UE, que estableció el fundamento jurídico para las transferencias de datos desde Europa. Como resultado de la opinión del Tribunal de Justicia de la Unión Europea del 6 de octubre de 2015 en el caso C-362/14 (caso Schrems), el marco de puerto seguro Estados Unidos-UE ya no es una base legal válida para las transferencias de datos desde Europa.

En febrero de 2016, Europa y los Estados Unidos llegaron a un acuerdo sobre un sucesor del puerto seguro de Estados Unidos-UE Marco, el escudo de la UE-Estados Unidos de privacidad. A partir del 1 de agosto de 2016, se ha permitido a las empresas interesadas registrarse para el programa. Sigue habiendo preocupaciones acerca de si el escudo de la UE-Estados Unidos de privacidad y otros los mecanismos de transferencia se enfrentarán a desafíos adicionales. Hasta que las incertidumbres legales restantes sobre el futuro del escudo de privacidad EU-Estados Unidos y otros mecanismos de transferencia de datos se resuelven, seguiremos explorando opciones para encontrar una base jurídica apropiada para las transferencias de datos de Europa, incluyendo sin limitación la adopción del modelo de cláusulas contractuales con ciertos proveedores y clientes, y están considerando proveedores que albergan datos en Europa,
lo cual puede implicar gastos y distracciones substanciales de otros aspectos de nuestro negocio. Podemos, sin embargo, ser en el establecimiento de una base jurídica para la transferencia de datos, y correrá el riesgo de que se adopten medidas Autoridad de protección de datos de la UE hasta tal punto en el tiempo que garanticemos una base jurídica para las transferencias de datos europeas, que podría dañar nuestra reputación, inhibir las ventas y dañar nuestro negocio. A pesar de las acciones que hemos tomado o vamos a tomar para hacer frente a los cambios provocados por la opinión del Tribunal de Justicia de la Unión Europea, es posible que no tengamos éxito en
el establecimiento de un medio conformador para la transferencia de datos debido a la actividad legislativa en curso que podría variar la corriente paisaje de transferencia de datos.

Además de la reglamentación gubernamental, los defensores de la privacidad y los grupos de la industria pueden proponer nuevas y diferentes normas de autorregulación que se aplican legalmente o contractualmente a nosotros.

Otros Elementos

Además, es posible que nuestros clientes nos exijan cumplir con requisitos contractuales más estrictos de privacidad y seguridad de datos o obtener certificaciones que no en la actualidad, y cualquier falla en la obtención de estas certificaciones podría reducir la demanda de productos. Si se requiere obtener certificaciones adicionales de la industria, puede que incurramos en gastos adicionales y tienen que desviar recursos, lo que podría ralentizar la liberación de nuevos productos, todos los cuales podrían perjudicar nuestra capacidad de competir con eficacia.

La interpretación y aplicación de muchas leyes de privacidad y protección de datos son, y probablemente se mantendrán incierto, y es posible que estas leyes puedan ser interpretadas y aplicadas de una manera que sea incompatible con las prácticas existentes de administración de datos o características del producto de las empresas. Si es así, además de la posibilidad de multas, pleitos y otros reclamos y sanciones, numerosas empresas podrían ser obligadas a cambiar fundamentalmente sus actividades y prácticas comerciales o modificar sus productos.

Autor: Henry Davis

Visualización Jerárquica de Datos personales

Educación y Comunicación > Informática y tratamiento de datos > Tratamiento de datos
Unión Europea > Instituciones de la Unión Europea y función pública europea > órgano de la UE > Supervisor Europeo de Protección de Datos
Asuntos Sociales > Sanidad > Ciencias médicas > Medicina > Datos médicos
Derecho > Derechos y libertades > Derecho del individuo > Protección de la vida privada
Ciencia > Ciencias naturales y aplicadas > Ciencias aplicadas > Matemáticas > Biometría
Educación y Comunicación > Informática y tratamiento de datos > Tratamiento de datos > Protección de datos