Deberes sobre Datos Personales

Este elemento es un complemento de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre los “Deberes sobre Datos Personales”. [aioseo_breadcrumbs]

Nota: Véase también la información sobre la Economía de los datos, el derecho a la información, el derecho de acceso, el derecho al olvido y la portabilidad de los datos.

Deberes de protección de los usuarios de datos comerciales en la UE

Véase, como marco de referencia, un análisis sobre salvaguardar a las personas en la economía basada en los datos en el marco de protección de datos de la Unión Europea.

Definiciones de los usuarios de datos

El rigor de la protección de datos depende a menudo del comportamiento específico de quienes los utilizan. Por lo tanto, es importante comprender cómo se regulan estos usuarios explorando sus deberes orientados a la protección. El GDPR establece un sistema único de usuarios de datos, dividiendo a aquellos que procesan datos en dos grandes grupos. En función de su nivel de autonomía, son responsables del tratamiento o encargados del tratamiento. La línea que separa a ambos grupos es delgada y, dado que la economía de los datos es conocida por su diversidad, no siempre está claro quién es un responsable del tratamiento y quién un encargado del tratamiento. La decisión final debe basarse en la relación real y no en acuerdos contractuales. Según el RGPD, un responsable del tratamiento es una persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales (artículo 2). En general, su principal responsabilidad es aplicar las medidas técnicas y organizativas adecuadas para garantizar y realizar el tratamiento de conformidad con el RGPD, por ejemplo, mediante la adhesión a los principios de privacidad y el respeto de los derechos de los interesados (artículo 24).

El GDPR define a un procesador de datos como una persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que procese datos personales en nombre del controlador (Artículo 2 del GDPR). En virtud del RGPD, los encargados del tratamiento tienen una serie de obligaciones directas, como la aplicación de medidas técnicas y organizativas, la notificación al responsable del tratamiento sin dilaciones indebidas de las violaciones de datos y el nombramiento de un delegado de protección de datos si la naturaleza del tratamiento de datos así lo requiere. Si un encargado del tratamiento contrata a un subencargado, este último deberá cumplir los mismos requisitos. El artículo 28 del RGPD especifica cómo debe regularse en un contrato el tratamiento de datos personales por parte de un encargado del tratamiento, estableciendo una serie de disposiciones obligatorias. La protección de facto de los datos personales depende a menudo de esta traducción de los principios y obligaciones del RGPD en acuerdos comerciales entre responsables y encargados del tratamiento. En la economía de los datos, un encargado del tratamiento suele ser una entidad externa especializada en el análisis de datos o en algún otro tipo de tratamiento de datos personales a la que el responsable del tratamiento subcontrata determinadas tareas. En la relación entre un responsable y un encargado del tratamiento, este último suele ser la parte dominante. Por ejemplo, una PYME europea como responsable del tratamiento es mucho más débil que un procesador global, como Dropbox. Así, el poder de negociación se desplaza hacia el lado del procesador, lo que puede afectar a la libertad de contratación y dar lugar a cláusulas contractuales menos favorables para el responsable del tratamiento.

Principios de protección de datos personales para usuarios de datos personales

Las normas de protección de datos que se aplican a los usuarios de datos personales pueden resumirse en cinco principios clave:

• tratamiento transparente, lícito y justo;
• especificación y limitación de la finalidad;
• minimización de los datos y limitación de su almacenamiento;
• exactitud, integridad y confidencialidad de los datos personales; y
• responsabilidad.

Estos principios pretenden establecer los límites del tratamiento de datos y ofrecer orientación a los responsables y encargados del tratamiento para que manejen los datos personales de forma legítima y responsable. El primer principio tiene tres vertientes. En primer lugar, exige un tratamiento de datos transparente, lo que significa que cualquier información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender. También significa que se utilice un lenguaje claro y sencillo y, cuando proceda, se recurra a la visualización (considerando 60 del RGPD). En otras palabras, el requisito de transparencia se traduce en ser consciente de algunos aspectos clave del tratamiento de datos. En segundo lugar, el principio exige que los datos se traten de forma lícita.

El artículo 6 del RGPD establece seis bases jurídicas para el tratamiento lícito:

• el interesado ha dado inequívocamente su consentimiento al tratamiento;
• el tratamiento es necesario para la ejecución de un contrato;
• el tratamiento es necesario para el cumplimiento de una obligación jurídica a la que está sujeto el responsable del tratamiento;
• el tratamiento es necesario para proteger los intereses vitales del interesado;
• el tratamiento es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público; y, por último,
• el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por el tercero a quien se comuniquen los datos.

La parte final del principio es la equidad. El RGPD no define la equidad, pero puede vincularse a numerosas salvaguardias de procedimiento que, en su conjunto, deberían constituir un tratamiento de datos equitativo. Sin embargo, centrarse por completo en las salvaguardias de procedimiento para lograr un tratamiento equitativo puede llevar a desatender el aspecto sustantivo de la equidad y, de hecho, a apartarse de los objetivos del RGPD y de la legislación más amplia de la UE.

En la economía impulsada por los datos, en la que los datos personales se utilizan habitualmente para fines secundarios, las bases de que el el interesado ha dado inequívocamente su consentimiento al tratamiento y de que el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por el tercero a quien se comuniquen los datos, parecen las más útiles. El consentimiento individual (el interesado ha dado inequívocamente su consentimiento al tratamiento) es una base que exhibe un mayor nivel de independencia y control del sujeto de los datos. Un consentimiento inequívoco presupone que el interesado comprende plenamente las consecuencias de su aprobación. Sin embargo, el consentimiento es una base jurídica que puede diluirse fácilmente. Por ejemplo, las políticas de privacidad difíciles de leer ocultan qué datos se están recopilando y con qué fines. A su vez, el consentimiento se convierte en un paso meramente formalista.

Además del consentimiento, es probable que el interés legítimo de un responsable del tratamiento de datos (el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por el tercero a quien se comuniquen los datos, como se apunta más arriba) se utilice como base jurídica en un entorno basado en los datos. El interés legítimo de un agente comercial será suficiente si pesa más que la importancia del derecho a la protección de datos. La protección de datos se considera un derecho fundamental, lo que significa que la parte comercial normalmente tendrá dificultades para demostrar que su interés “gana” a la privacidad.

El Grupo de Trabajo del Artículo 29 adopta un enfoque más equilibrado en su dictamen. Afirma que, a la hora de interpretar el ámbito de aplicación del artículo 6, letra f), es necesario garantizar la flexibilidad de los responsables del tratamiento en situaciones en las que no se produzca un impacto indebido sobre los interesados. Sin embargo, es importante que se proporcione a los interesados la suficiente seguridad jurídica y garantías que impidan los usos indebidos de esta disposición de carácter abierto.

El principio de limitación de la finalidad del artículo 5, letra b), es significativo para la economía moderna de los datos, en particular para aquellos responsables del tratamiento que reutilizan activamente los datos personales. Exige que se especifiquen los fines para los que se recopilan los datos personales y que éstos sólo se utilicen para dichos fines. Este principio impide que los responsables del tratamiento ejerzan demasiada libertad con respecto a los datos personales de los individuos. Los responsables del tratamiento deben determinar los fines del tratamiento de los datos antes de que éste comience. Los datos sólo pueden utilizarse para un fin que sea compatible con el fin para el que se recogieron. Esta determinación previa de los fines crea una sensación de certidumbre y transparencia y refuerza el control de los interesados sobre sus datos personales. En la práctica, el principio de limitación de la finalidad es difícil de aplicar. En primer lugar, es poco probable que puedan definirse o predecirse de antemano todas las posibles reutilizaciones. Esto puede resultar frustrante para los agentes de la economía de datos, ya que pueden sentir que las posibilidades de explotar los datos recopilados se han restringido de forma desproporcionada. Como respuesta a la disposición restrictiva, los responsables del tratamiento han empezado a utilizar un lenguaje abierto e indefinido que carece de especificidad en lo que respecta tanto a los datos que recogen las redes como a la forma en que utilizan estos datos. Por ejemplo, la política de privacidad de Facebook de 2015 sólo identificaba categorías de fines utilizando descripciones vagas como “Proporcionar, mejorar y desarrollar servicios”, “Promover la seguridad y la protección” y “Mostrar y medir anuncios y servicios”. Sin embargo, esto puede considerarse que elude la intención del legislador, y el tratamiento basado en una política de este tipo puede considerarse ilícito. Para ayudar a los reutilizadores de datos a evaluar si el uso de los datos en otro contexto es legítimo, el apartado 4 del artículo 6 del RGPD ofrece una orientación detallada.

El juicio sobre la compatibilidad del tratamiento debe basarse en los siguientes criterios:

• la relación entre los fines para los que se han recogido los datos y los fines del tratamiento posterior previsto;
• el contexto en el que se han recogido los datos;
• la naturaleza de los datos personales;
• las posibles consecuencias del tratamiento posterior previsto para los interesados; y
• la existencia de garantías adecuadas.

El Grupo de Trabajo del Artículo 29 propuso otra forma de evaluación de la compatibilidad en su dictamen sobre la limitación de la finalidad. Para determinar la compatibilidad de la reutilización de datos, el Grupo de Trabajo sugirió una combinación de evaluación formal y subjetiva. La primera se centra en la comparación entre los fines proporcionados por el responsable del tratamiento y la reutilización real de los datos, y la segunda se centra en el contexto y la forma en que pueden entenderse los fines. El artículo 5, letra c), del RGPD exige a quienes controlan los datos que garanticen que éstos sigan siendo pertinentes y no excesivos en relación con la finalidad, y que no se conserven más tiempo del necesario para el tratamiento. Esta disposición también se conoce como principio de minimización de datos. Reducir al mínimo la cantidad de datos personales que se procesan debería disminuir el riesgo de que se produzcan violaciones de datos y de que éstos se manejen incorrectamente. La letra e) del apartado 1 del artículo 5 establece que los datos personales deben conservarse en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se traten los datos personales. Ambos requisitos, pero especialmente el del artículo 5(c), parecen contradecir a la sociedad rica en información, que recopila grandes cantidades de datos porque pueden resultar útiles en el futuro.

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

Para superar este reto, el RGPD prevé algunas excepciones a la minimización de datos cuando éstos se procesen únicamente con fines de archivo en interés público o con fines de investigación científica e histórica o fines estadísticos, siempre que se apliquen las medidas técnicas y organizativas adecuadas. Sin embargo, las autoridades ya han declarado que este principio debería, en esencia, permanecer inalterado a pesar del creciente sector de los macrodatos. El RGPD también ofrece directrices en cuanto a la exactitud, integridad y confidencialidad de los datos. En primer lugar, los datos personales deben ser exactos y, en caso necesario, mantenerse actualizados; deben tomarse todas las medidas razonables para garantizar que los datos personales que sean inexactos en relación con los fines para los que se tratan se supriman o rectifiquen sin demora (artículo 5, apartado 1, letra d)). En segundo lugar, deben tomarse precauciones contra los riesgos de pérdida, acceso no autorizado, destrucción, etc. de los datos personales (letra f) del apartado 1 del artículo 5). Estos requisitos persiguen una mejor protección de los datos personales y un menor número de intrusiones causadas por la aplicación o el uso inadecuados de los datos. En la era de los macrodatos, estos principios resultan muy pertinentes. Los datos incompletos, incorrectos o anticuados -en los que puede haber una falta de rigor técnico y exhaustividad en la recopilación de datos o en los que pueden existir imprecisiones o lagunas en los datos recopilados o compartidos- no sólo pueden dar lugar a conclusiones incorrectas, sino que también pueden causar resultados discriminatorios. El principio de rendición de cuentas exige que los responsables del tratamiento sean responsables de su cumplimiento de los principios del RGPD y puedan demostrarlo (artículo 5, apartado 2). Por ejemplo, pueden adoptar determinadas medidas de “protección de datos desde el diseño” (por ejemplo, el uso de técnicas de seudonimización), llevar a cabo programas de formación del personal y realizar auditorías de terceros. Dado el alcance y el riesgo del tratamiento de datos, es posible que tengan que realizar evaluaciones de impacto sobre la privacidad o contratar a uno o varios responsables de la protección de datos. En definitiva, la rendición de cuentas parece ser uno de los conceptos más influyentes en la vertiente de protección de la ley de protección de datos. Los comentaristas lo consideran una forma prometedora de hacer frente a los retos que plantea el carácter cada vez más globalizado de los flujos de información, tipificados por los recientes avances en el ámbito del comercio electrónico, como la computación en nube y diversos tipos de reutilización de datos.

Revisor de hechos: Haaser

Recursos

Véase También

Derechos Digitales, Derechos Individuales, Gestión de Datos, Gestión de la Identidad, Libertades Civiles, Política de Privacidad, Privacidad, Protección de Datos, Protección de Datos Personales,

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.