Protección De Datos

TEMA 2: PROTECCIÓN DE DATOS PERSONALES: ASPECTOS GENERALES Y PRINCIPIOS BÁSICOS

ÍNDICE:

⦁ DATOS PERSONALES: DEFINICIÓN, TRASCENDENCIA Y TIPOS

⦁ DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS: LEGISLACIÓN COMUNITARIA Y ESTATAL.

⦁ ANÁLISIS LEGISLACIÓN ESTATAL: LOPD Y RD1720/2007

1. ÁMBITO DE APLICACIÓN (Art. 2)

2. DEFINICIONES (Art. 3)

3. PILARES BÁSICOS DE LA LOPD

PRINCIPIOS DE LA PROTECCIÓN DE DATOS

⦁ Principio del derecho a la información

⦁ Principio del consentimiento

⦁ Protección especial para datos sensibles: Datos especialmente protegidos

⦁ Principio de control en la comunicación o cesión de datos

⦁ Principio de calidad de los datos

⦁ Principio de Seguridad y Secreto

DERECHOS DEL INTERESADO

⦁ Derecho de información

⦁ Derecho de consulta

⦁ Derechos de acceso, rectificación y cancelación y oposición: DERECHOS ARCO.

⦁ Tutela de derechos, art. 18

4. RÉGIMEN SANCIONADOR

5. ¿PUEDO TRATAR LOS DATOS DE OTRAS PERSONAS? ¿QUÉ DEBO HACER?

6. PUBLICIDAD A TRAVÉS DE MEDIOS ELECTRÓNICOS.

I. DATOS PERSONALES: DEFINICIÓN, TRASCENDENCIA Y TIPOS.

El Tribunal Constitucional, en su Sentencia 292/2000 de 30 de noviembre (BOE de 4 de enero de 2001), y la LOPD definen el derecho a la protección de datos como aquel que tiene todo ciudadano de disponer y decidir libremente acerca de todas las informaciones que se refieren a él, es decir acerca de sus datos personales.

Antes de analizar detenidamente en qué consiste el derecho a la protección de datos personales es lógico aclarar primero qué entendemos por dato personal y cuál es la importancia que pueden llegar a tener.

La Ley orgánica de Protección de Dato define dato de carácter personal como: cualquier información concerniente a personas físicas identificadas o identificables (art. 3.a) Parece claro, pues, que dato personal es cualquier dato que identifique o permita identificar a una persona. El art 5.1 o) del Reglamento 1720/2007 establece que es identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

El nombre, los apellidos, la fecha de nacimiento, la dirección postal o la dirección de correo electrónico, el número de teléfono, el número de identificación fiscal, el número de matrícula del coche, la huella digital, el ADN, una fotografía, el número de seguridad social, la matrícula del coche ... son datos valiosos que identifican a una persona, ya sea directa o indirectamente. Todos ellos son considerados datos personales, y por lo tanto son merecedores de protección.

Debemos ser conscientes de que toda esta información revela aspectos de nuestra personalidad. Qué bienes compramos y dónde lo hacemos, nuestra historia clínica, nuestro perfil en una red social o las fotografías y videos que subimos a nuestro espacio en Internet son información que dicen todo sobre nosotros y nuestra personalidad.

Los ejemplos sobre cómo puede tratarse nuestra información en la sociedad digital y los resultados que ofrece son muy numerosos:

■ Si somos funcionarios, tenemos un blog, o hemos participado en cualquier actividad pública y ha quedado constancia bastará con poner nuestro “nombre y apellido” entre comillas en un buscador para obtener resultados a veces sorprendentes.

■ En nuestro perfil en una red social contamos desde la fecha de nacimiento y el colegio en el que estudiamos hasta cuando salimos de vacaciones.

■ Algo tan simple como nuestra dirección de correo electrónico del trabajo suele indicar quienes somos y en qué trabajamos y con ello una primera aproximación a nuestro perfil económico y nuestros intereses profesionales.

■ Nuestro expediente académico dice todo profesionalmente sobre nosotros.

■ Aparecer en un fichero sobre solvencia con un informe negativo puede afectar a nuestra capacidad de compra.

■ Recibir una ayuda o subvención depende de la comprobación de decenas de datos.

Frente al concepto de dato personal nos encontramos con el de dato disociado, contenido en el artículo 5.1 e) del Reglamento 1720/2007, aquél que no permite la identificación de un afectado o interesado. En consecuencia, serían disociados los datos no referidos a una persona identificable.

Pero no sólo podemos entender el derecho fundamental a la protección de datos desde un punto de vista pasivo. Cada día muchos de nosotros tratamos datos de otras personas en Internet. Hacemos comentarios, subimos y etiquetamos fotos en foros o blogs, y probablemente en la mayor parte de las ocasiones no tenemos en cuenta si aquellos a los que nos referimos están de acuerdo con ello o les puede disgustar nuestro comportamiento.

Las dudas acerca de lo que puede llegar a identificar a una persona son múltiples y la APD ha de salir a dar respuestas a estas cuestiones, por ejemplo:

a. ¿es la dirección IP de un ordenador un dato personal?

IP: secuencia numérica que identifica un ordenador conectado a la Red

Por el Informe 327/2003 de la APD, la IP es considerada un dato personal.

Esta es la misma posición que ha adoptado la Unión Europea al respecto, muy diferente a la que sostienen grandes empresas de Internet, como google, para la cual una dirección IP identifica simplemente la localización de un ordenador, no al usuario individual.

Obviamente, las direcciones IP pueden no estar ligadas a un individuo, como en el caso de los cibercafés o de las oficinas cuyos ordenadores son usadas por varias personas. A pesar de ello, se mantiene su carácter de dato personal.

b. Otro de los aspectos más debatidos ha sido si la dirección de correo electrónico debe ser considerada como dato personal. La APD dictaminó en 1999 que SÍ, que la dirección de correo electrónico es un dato de carácter personal.

La dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos, generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en sí misma o carecer del mismo, atendiendo al grado de identificación del titular de la cuenta de correo que proporcione la dirección de que se trate. Así, existirán supuestos en los que voluntaria o involuntariamente la dirección de correo electrónico contenga información acerca de su titular que lo identifique, en los cuales no existe duda de que dicha dirección ha de ser considerada como dato de carácter personal, o supuestos en los que la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta, de modo que no nos encontramos ante un dato de carácter personal, a no ser que otros datos (dominio, domicilio, etc.), conjunta o separadamente, permitan, como en el presente supuesto, la identificación del sujeto sin un esfuerzo desproporcionado por parte de quien procede a la identificación, en cuyo caso, la dirección de correo electrónico quedará amparada por el régimen establecido en la LOPD. (RESOLUCIÓN: R/02997/2012)

c. Otra de las cuestiones que ha resuelto la Agencia plantaba si el número de historia clínica, después de un proceso de disociación es o no dato de carácter personal. Si el proceso de disociación es eficaz se hace imposible relacionar el historial clínico con la persona que hay detrás, por lo que ya no sería dato personal. En caso de que la disociación no fuera lo suficientemente eficaz, sí que sería un dato personal. (Informe 0283/2008) En la misma dirección el INFORME 0037/2010 (centros docentes de Andalucía ha de facilitar determinadas informaciones referidas al número de alumnos presentados por cada centro a las pruebas de acceso a la Universidad, la nota media de sus expedientes y de la prueba de selectividad.

d. ¿Código PIN de una tarjeta de crédito? NO (Informe 0446/2010)

(CASO PRÁCTICO)

CLASIFICACIÓN DE LOS DATOS PERSONALES

Aunque los datos de carácter personal ya han sido definidos hay que afirmar que existen distintos tipos de datos personales ya que no todos los datos identifican a una persona de la misma manera, ni se refieren a los mismos aspectos, por lo que no atentan del mismo modo a su intimidad.

Hemos visto que hay datos que identifican a una persona de manera indirecta, otros de manera directa, hay datos conocidos por casi todo el mundo y otros que informan de aspectos personalísimos del sujeto. Por todo ello, no todos los datos demandan el mismo nivel de protección. Atendiendo al nivel de protección que demandan los datos personales éstos pueden clasificarse de la siguiente manera:

PROTECCIÓN MENOR: DATOS PÚBLICOS DE MERA IDENTIFICACIÓN, datos de fuentes accesibles al público. (Núcleo duro de la guía telefónica)

PROTECCIÓN ORDINARIA: DATOS DE PROTECCIÓN ORDINARIA, no son datos de mera identificación pero no llegan a considerarse datos sensibles

PROTECCIÓN MAYOR: DATOS SENSIBLES, DATOS ESPECIALMENTE

...