Todo lo que necesitas saber sobre los datos personales
El debatido Reglamento General de Protección de Datos (en adelante RGPD) se aplica a todas las empresas que operan en la Unión Europea con independencia de dónde tengan su sede. Su contenido se centra en los datos personales considerados por el legislador y por los consumidores especialmente dignos de protección. No obstante, no todo el mundo está de acuerdo con esta protección: numerosos representantes del sector económico consideran que estas normas más estrictas representan una amenaza para su competitividad, basada en gran medida en el big data. Pero ¿qué se entiende realmente por datos personales? ¿Qué derechos pueden invocar los interesados cuando su información privada se recopila, almacena y procesa con fines comerciales?
Datos personales: definición
En lo que respecta a la cuestión en torno a los datos personales, impera un amplio consenso entre los juristas europeos. Se entiende que son datos personales todos los datos y las informaciones que permitan conocer la identidad de una persona física viva, identificada o identificable, es decir, de una persona “de carne y hueso”. Por lo tanto, esta definición excluye a las personas jurídicas y a las sociedades limitadas o anónimas, salvo en aquellos casos en los que los socios y los directores generales sean la misma persona. Suele diferenciarse entre los datos personales que se asocian inequívocamente con una persona y los datos relativos a las personas (person-related data) que pueden identificar a una persona solo en compañía de otros datos relevantes (datos seudonimizados). Los datos personales que hayan sido anonimizados, impidiendo que la persona sea identificable, no serán considerados datos personales en sí. Para que los datos se consideren verdaderamente anónimos, la anonimización debe ser irreversible.
Todos estos datos personales entran dentro de la protección de datos. Antes de la aprobación del actual reglamento, la principal ley aplicable en España era la Ley Orgánica de Protección de Datos (LOPD), pero desde el 25 de mayo de 2018 es el Reglamento General de Protección de Datos o RGPD el que se aplica en todos los estados de la Unión Europea como ley de protección de datos oficial y, por lo tanto, superior a la legislación nacional. Los cambios solo hacen referencia a pequeños detalles. Los principios ya existentes se mantienen, pero el nuevo reglamento los reformula y los amplia claramente, por ejemplo, con obligaciones de información más estrictas en caso de robo de datos o nuevas directrices para la protección de datos en tecnologías innovadoras aún por desarrollar (palabra clave privacy by design).
Aunque el reglamento será de aplicación directa para todas aquellas personas que trabajen con datos personales de otros individuos que residan en alguno de los estados miembros de la Unión, la norma contempla la posibilidad de que lo estipulado en ella sea ampliado o restringido internamente por cada país. Esto supone que en España la actual LOPD de 1999 será derogada y se aplicará la nueva Ley Orgánica de Protección de Datos que actualmente se encuentra en la fase de consultas previa a su aprobación. Además, el reglamento incluye ahora una definición general del término que, hasta ahora, había sido interpretado de forma distinta en toda Europa:
El artículo 4 del RGPD recoge en su apartado primero la definición de datos personales. Según dicho artículo, se consideran datos personales “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como, por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
Según esta definición, existen muchos tipos de datos personales, algunos de los cuales se presentan junto con ejemplos en el siguiente gráfico. Ten en cuenta que este resumen es solo una idea general y que no pretende ser completo.
Si, por el contrario, los datos no pueden asignarse a una persona específica porque están completamente anonimizados, no es necesario respetar ninguna norma de protección de datos. El problema se plantea con los denominados datos disociados o seudonimizados que, con los conocimientos necesarios, podrían utilizarse para determinar la identidad de una persona. Por lo tanto, en caso de duda, es conveniente aplicar el principio de precaución: en ocasiones es difícil distinguir qué son datos personales y qué no, por eso debe optarse por garantizar la protección de la información potencialmente sensible. Por ejemplo, las autoridades encargadas de la protección de los datos consideran que incluso las direcciones IP dinámicas pertenecen a la esfera de los datos personales, ya que pueden atribuirse a un usuario de Internet a través de la interacción de proveedores de acceso y de servicios.
¿Qué tipos especiales de datos personales existen?
Además de los ejemplos de datos personales mencionados anteriormente, la ley de protección de datos recoge un grupo de datos definidos como especiales relativos a personas físicas. Se trata, en particular, de estos:
- datos de origen étnico o cultural
- opiniones políticas, religiosas y filosóficas
- datos relativos a la salud
- orientación sexual
- afiliación sindical
- Además, de conformidad con lo establecido en el artículo 9 del RGPD, también se incluye información genética (análisis de ADN, por ejemplo) y datos biométricos (fotografías y huellas dactilares).
Debido a que se trata de información especialmente sensible, las normas relativas a protegerla son mucho más estrictas. Por lo tanto, el procesamiento de estos datos sensibles está en principio prohibido, con arreglo a lo establecido en el apartado primero del artículo 9 del RGPD. Esta prohibición solo se exime en dos casos específicos: que la persona a la que se refieren dichos datos haya dado su consentimiento expreso (no basta con una declaración de consentimiento para el tratamiento de datos personales generales) o exista un interés público legítimo en dicha información, por ejemplo, en el contexto de un proceso penal. Si bien el nombramiento de los delegados de protección de datos suele ser una cuestión a considerar por parte del gerente de la empresa, es obligatorio en el caso de que se usen datos personales especiales.
¿Por qué y cómo deben protegerse los datos personales?
Todo el mundo debería saber que todas las grandes empresas de Internet, como Google y Facebook, recopilan datos personales de los usuarios a gran escala. En la mayoría de los casos, los utilizan para colocar publicidad individualizada y, de esta forma, generar beneficios económicos. Pero el Big Data no es un mero factor competitivo, sino el factor considerado más importante por parte de la mayoría de las empresas presentes en el mercado. Según un informe publicado por Accenture, el 67 % de los ejecutivos de grandes empresas en 19 países diferentes considera que el big data representa uno de los aspectos más importantes de la transformación digital. Los datos se utilizan principalmente para la optimización de las estructuras de ventas y la individualización de los mecanismos de marketing.
Esto contrasta con un consumidor cada vez más maduro y mejor informado que teme, con razón, convertirse en una "persona totalmente transparente" mediante la creación de perfiles de usuario detallados. Esta desconfianza hacia las empresas (y también hacia las autoridades) se muestra en los resultados de un estudio recogido en un artículo del periódico Cinco Días. Según un estudio del ICEMD, la confianza en una compañía se considera el parámetro más importante para intercambiar información personal.
Los casos recurrentes de robo y abuso de datos a través de correos de phishing y el uso de troyanos alimentan, aún más, este temor porque, cuanto más sensible es la información que circula sobre un individuo, mayor es el peligro asociado para su supervivencia financiera y social.
Por lo tanto, la normativa de protección de datos obliga a las empresas y las autoridades a garantizar la protección de la información de sus usuarios y clientes. Esto implica el cumplimiento de los siguientes principios y prácticas establecidos en el RGPD:
- Legalidad del tratamiento de datos: la recogida, el almacenamiento, la utilización y la transmisión de datos personales a terceros solo está permitida con el consentimiento expreso del interesado.
- Transparencia: las empresas y autoridades públicas están sujetas a una completa rendición de cuentas, documentación y pruebas. A petición del interesado, deberá informar sobre todos los procedimientos de tratamiento de sus datos personales.
- Uso limitado: el empleo de datos deberá estar restringido a objetivos específicos y no ser arbitrario.
- Minimización de datos: las organizaciones están obligadas a recopilar solo los datos que sean estrictamente necesarios para el cumplimiento de sus objetivos y a garantizar que el volumen de información almacenada esté, siempre y en todo caso, lo más minimizada posible.
- Corrección del procesamiento de datos: los datos almacenados deben ser siempre correctos y estar actualizados en caso de que sea necesario.
- Limitación del almacenamiento: existe una obligación de eliminar datos con regularidad y desde el momento en que ya no sean necesarios para los objetivos de una organización, si se han almacenado ilegalmente o si ha expirado un período predeterminado para conceder dichos datos.
- Integridad y confidencialidad: las empresas y las autoridades deben tomar amplias medidas para la protección interna de datos personales. Además del uso de programas de encriptación y software de seguridad, esto también incluye la formación detallada de los empleados encargados del procesamiento de datos.
Con arreglo a lo establecido en el artículo 83, apartado 5 del RGPD, la violación de estos principios puede dar lugar a una multa de hasta 20 millones de euros o hasta el 4 % del volumen de negocios anual global. Esta norma, no obstante, ofrece un incentivo financiero para empujar al cumplimiento de sus directrices, pero sigue sin poder garantizar la seguridad absoluta de los datos personales. Por esta razón, en última instancia corresponde a los consumidores proteger su privacidad por iniciativa propia. Por lo tanto, la economía de datos es también un principio eficaz a la hora de navegar por Internet. Además, se recomienda borrar o, al menos falsificar, los datos personales (postales y bancarios) introducidos después de completar una compra en línea. Por último, pero no por ello menos importante, también tiene sentido estudiar con detenimiento los derechos que te asisten con respecto a las empresas y las autoridades.
¿Qué derechos tienen los interesados cuyos datos personales se recogen, almacenan y tratan?
El RGPD estipula tres derechos esenciales que deben ser invocados por los interesados cuyos datos personales se recogen, almacenan y procesan:
En el Derecho europeo, los datos personales deben considerarse, en principio, propiedad de una persona. Este derecho a la autodeterminación informativa también aparece protegido en el artículo 18.4 de la Constitución Española –norma suprema del ordenamiento jurídico español–, que señala que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos. En la práctica esto significa que la recogida, el almacenamiento, el tratamiento y la transmisión de los datos personales solo se permiten con el consentimiento expreso y activo del interesado. Por lo tanto, no basta con un reconocimiento implícito de la práctica de protección de datos de un servicio en línea. Tampoco se permite la práctica conocida como acoplamiento, en la que una empresa o una autoridad solo presta determinados servicios si cuenta con el consentimiento del usuario, limitando así su libertad de elección.
De conformidad con lo establecido en el artículo 15 del RGPD, la persona interesada tiene derecho a obtener de la empresa o el organismo público responsable del tratamiento de sus datos la confirmación acerca de si se están tratando o no datos personales que le conciernen y, en caso de que así sea, a acceder a dichos datos y a informaciones relativas a estos. La Agencia Española de Protección de datos recoge en su página web información detallada sobre la normativa de protección de datos que te permite que puedas ejercer tus derechos ante el responsable del tratamiento de tus datos personales. Las siguientes preguntas explícitas son útiles para obtener una buena visión general del alcance y procedimiento del almacenamiento de los datos:
- ¿Qué datos se almacenarán sobre mí?
- ¿Dónde se almacenan estos datos?
- ¿Cómo se recopilaron estos datos?
- ¿Para qué se han almacenado?
- ¿A quién se han transmitido mis datos?
Aunque las empresas y las autoridades están obligadas por ley a proporcionar información, hay que contar con que en algunos casos el usuario deberá enfrentarse a una falta de voluntad por parte de la empresa para responder a este tipo de preguntas. Tienes que ser persistente para conseguir lo que quieres: invoca tus derechos, establece un plazo estricto para que te proporcionen la información que buscas y, en última instancia, amenaza con consultar a la autoridad responsable de la protección de datos; seguramente así consigas que te hagan caso. No te desesperes y no olvides que si no estás de acuerdo con la forma en que se recopilan tus datos, si la información es incorrecta o está desactualizada o incluso en aquellos casos en los que si se ha almacenado o transmitido ilegalmente, puedes utilizar una última herramienta legal: el derecho a corregir, eliminar y bloquear los datos personales según lo establecido en el artículo 15, apartado 1, letra e del RGPD.