LODP (Ley de Protección de Datos Personales)

graph LR
  A[LODP - Ley de Protección de Datos Personales] --> B[Tratamiento de Datos Personales]
  B --> B1[Recogida]
  B --> B2[Grabación]
  B --> B3[Conservación]
  B --> B4[Elaboración]
  B --> B5[Modificación]
  B --> B6[Consulta]
  B --> B7[Utilización]
  B --> B8[Cancelación/Bloqueo/Supresión]
  B --> B9[Cesión/Transferencia/Comunicación]
  B --> B10[Elaboración de Perfiles]
  B --> B11[Seudonimización]

  A --> C[Principios Generales del Tratamiento]
  C --> C1[Licitud, Lealtad y Transparencia]
  C --> C2[Minimización de Datos]
  C --> C3[Exactitud]
  C --> C4[Limitación del Plazo de Conservación]
  C --> C5[Integridad y Confidencialidad]
  C --> C6[Responsabilidad Proactiva]

  A --> D[Licitud del Tratamiento]
  D --> D1[Consentimiento del Interesado]
  D --> D2[Ejecución de un Contrato]
  D --> D3[Cumplimiento de Obligación Legal]
  D --> D4[Intereses Vitales]
  D --> D5[Misión de Interés Público]
  D --> D6[Intereses Legítimos]

  A --> E[Derechos de los Ciudadanos]
  E --> E1[Derecho de Acceso]
  E1 --> E1a[Confirmación del Tratamiento]
  E1 --> E1b[Obtener Copia de los Datos]
  E1 --> E1c[Información sobre Finalidad y Destinatarios]

  E --> E2[Derecho de Rectificación]
  E2 --> E2a[Corrección de Datos Inexactos]
  E2 --> E2b[Complementación de Datos Incompletos]

  E --> E3[Derecho de Cancelación/Supresión y Derecho al Olvido]
  E3 --> E3a[Eliminación de Datos No Necesarios]
  E3 --> E3b[Excepciones: Interés Público, Investigación]

  E --> E4[Derecho de Oposición y Decisiones Automatizadas]
  E4 --> E4a[Oposición a Tratamiento de Datos]
  E4 --> E4b[Revisión Humana en Decisiones Algorítmicas]

  E --> E5[Derecho a la Limitación del Tratamiento]
  E5 --> E5a[Congelación Temporal de Datos]
  E5 --> E5b[Impugnación de Exactitud]

  E --> E6[Derecho a la Portabilidad de Datos]
  E6 --> E6a[Transferencia Directa de Responsable a Responsable]
  E6 --> E6b[Datos en Formato Estructurado]

  E --> E7[Transferencias Internacionales de Datos]
  E7 --> E7a[Regulación del Envío de Datos a Terceros Países]
  E7 --> E7b[Garantías Adecuadas]

  A --> F[Finalidad del Tratamiento]
  F --> F1[Obligaciones Legales]
  F --> F2[Protección de Intereses Vitales]
  F --> F3[Investigación Científica e Histórica]
  F --> F4[Contratación o Prestación de Servicios]
  F --> F5[Estadística y Análisis]

4. ¿Qué se entiende por tratamiento de datos personales?

  • El concepto de "tratamiento de datos personales" en el contexto del Reglamento General de Protección de Datos (RGPD) va mucho más allá de la simple idea de crear ficheros o bases de datos. Se refiere a cualquier operación o conjunto de operaciones que se realicen con datos personales, independientemente de si se utilizan medios automatizados o no.
  • Este concepto abarca una amplia gama de acciones, incluyendo, pero no limitado a: la recogida, la grabación, la conservación, la elaboración, la modificación, la consulta, la utilización, la cancelación, el bloqueo o la supresión de datos. También se incluyen las cesiones, las comunicaciones, las transferencias o cualquier otra forma de habilitar el acceso a estos datos. Es decir, cualquier manipulación de la información personal se considera tratamiento de datos.
  • Un aspecto relevante dentro del tratamiento de datos es la elaboración de perfiles, que se define como el tratamiento automatizado de datos personales que tiene como objetivo evaluar ciertos aspectos de una persona física. Estos aspectos pueden incluir su rendimiento laboral, su situación económica, su estado de salud, sus preferencias personales, sus intereses, su fiabilidad o su comportamiento. La elaboración de perfiles puede tener un impacto significativo en las personas, ya que puede llevar a la toma de decisiones automatizadas que les afecten.
  • La seudonimización es otra forma de tratamiento de datos que merece mención. Esta técnica consiste en tratar los datos de tal manera que ya no puedan atribuirse directamente a un interesado específico sin el uso de información adicional. Esta información adicional se debe mantener por separado y sujeta a medidas técnicas y organizativas que garanticen que los datos no se puedan vincular a una persona física identificada o identificable.
  • Un "dato personal" se define como cualquier información de naturaleza numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo que concierna a una persona física identificada o identificable. Se considera identificable a una persona física cuando su identidad se puede determinar, ya sea directa o indirectamente, mediante un identificador como su nombre, su número de identificación, sus datos de localización, o elementos específicos de su identidad física, fisiológica, genética, psíquica, económica, cultural o social. Es fundamental reconocer que el concepto de dato personal es amplio y abarca una gran cantidad de información que puede identificar a una persona.

5. Principios generales de los tratamientos de datos

  • El tratamiento de datos personales debe llevarse a cabo respetando una serie de principios generales, que sirven como guía para garantizar un uso adecuado y responsable de la información personal. Estos principios son fundamentales para proteger los derechos de los interesados y fomentar la confianza en el tratamiento de datos.
  • Principio de licitud, lealtad y transparencia: El tratamiento de datos personales debe ser siempre lícito, lo que significa que debe ajustarse a las normas establecidas en la legislación vigente. Además, debe ser leal hacia el interesado, respetando sus derechos y expectativas legítimas. La transparencia implica que el interesado debe ser informado de manera clara, sencilla y accesible sobre cómo se tratan sus datos, incluyendo la finalidad del tratamiento, la identidad del responsable y los derechos que le asisten.
  • Principio de minimización de datos: Los datos personales deben ser adecuados, pertinentes y limitados a lo estrictamente necesario en relación con los fines para los que son tratados. Esto significa que no se deben recoger datos que no sean necesarios para la finalidad específica del tratamiento. Se debe limitar la cantidad de datos recogidos, el alcance del tratamiento, su periodo de conservación y su accesibilidad.
  • Principio de exactitud: Los datos personales deben ser exactos y actualizados. Se deben adoptar todas las medidas razonables para garantizar que los datos inexactos sean rectificados o suprimidos sin dilación. Este principio es fundamental para evitar decisiones erróneas basadas en datos incorrectos o desactualizados.
  • Principio de limitación del plazo de conservación: Los datos personales no deben conservarse más tiempo del necesario para los fines para los que fueron recogidos, aunque existen algunos plazos de conservación establecidos legalmente.
  • Principio de integridad y confidencialidad: Los datos personales deben ser tratados de tal manera que se garantice una seguridad adecuada, protegiéndolos contra el tratamiento no autorizado o ilícito, la pérdida, la destrucción o el daño accidental, mediante la aplicación de medidas técnicas y organizativas apropiadas.
  • Principio de responsabilidad proactiva: El responsable del tratamiento debe ser capaz de demostrar que el tratamiento se lleva a cabo de acuerdo con los principios del RGPD. Esto implica que el responsable debe adoptar las medidas necesarias para garantizar el cumplimiento de la normativa y poder demostrarlo ante las autoridades de control.
  • Licitud del tratamiento: El tratamiento de datos personales solo será lícito si se cumple alguna de las condiciones establecidas en el artículo 6 del RGPD. Estas condiciones incluyen:
    • El consentimiento del interesado para el tratamiento de sus datos personales para uno o varios fines específicos.
    • Que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte, o para la aplicación a petición de este de medidas precontractuales.
    • Que el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
    • Que el tratamiento sea necesario para la protección de intereses vitales del interesado o de otra persona física.
    • Que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
    • Que el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado.

6.1. Consideración previa sobre la finalidad del tratamiento

  • La finalidad del tratamiento se refiere al motivo, objeto, servicio o utilidad para la cual se recaban los datos personales. Este es un concepto clave en la protección de datos, ya que determina los límites del uso que se puede hacer de la información personal.
  • Los datos personales deben ser recogidos con fines determinados, explícitos y legítimos. Esto significa que la finalidad del tratamiento debe ser clara y estar justificada por la ley. Además, los datos no pueden ser tratados de manera incompatible con estos fines. La finalidad debe ser clara antes de que se obtengan los datos, no después.
  • La finalidad actúa como un límite al tipo de datos que se pueden recoger, ya que solo se pueden recoger aquellos que sean estrictamente necesarios para la finalidad concreta del tratamiento. También limita el uso posterior de los datos a finalidades que sean compatibles con la inicial, evitando así que se utilicen para propósitos distintos a los que fueron recogidos.
  • El RGPD establece que los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Este principio de proporcionalidad busca evitar la recogida innecesaria de datos.
  • Las finalidades del tratamiento se encuentran recogidas en la normativa, ya sea de forma individual o genérica.
    • Entre las finalidades individuales se encuentran:
      • El cumplimiento de obligaciones legales.
      • La protección de intereses vitales de las personas físicas.
      • El cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.
    • De forma más genérica, se reconocen las finalidades de:
      • La satisfacción de intereses legítimos del responsable del tratamiento.
      • La contratación o prestación de servicios.
    • También se incluyen las finalidades compatibles con la inicial, como:
      • La estadística.
      • La investigación científica e histórica.
      • El interés público

Derecho de acceso

Es uno de los derechos básicos en protección de datos ARCO. Esta sigla se refiere a los derechos de Acceso, Rectificación, Cancelación y Oposición, que son fundamentales según el artículo 18.4 de la Constitución.

Básicamente, es el derecho que tenemos para saber si alguien está tratando nuestros datos personales y, si es así, poder ver qué datos tienen exactamente. Es como tener una llave que nos permite "abrir la puerta" y ver qué información tienen sobre nosotros.

Está regulado principalmente en: - El artículo 15 del RGPD (el Reglamento europeo) - El artículo 13 de la LOPDG (la ley española) - Los artículos 27 a 30 del RLOPD (el reglamento español)

¿Qué podemos pedir exactamente?

Cuando ejercemos este derecho, podemos obtener: 1. Confirmación de si están tratando nuestros datos 2. Una copia de los datos que tienen 3. Información sobre: - Para qué usan los datos - A quién se los han dado - Cuánto tiempo los van a guardar - Origen de los datos - Si toman decisiones automatizadas con ellos

Lo interesante es que el derecho de acceso es como la puerta de entrada para los demás derechos. Por ejemplo: - Si al acceder vemos que hay datos incorrectos, podemos pedir su rectificación - Si vemos datos que no deberían tener, podemos pedir su cancelación - Si no nos gusta cómo están usando nuestros datos, podemos oponernos

Según la AEPD (Informe 0156/2010), no es obligatorio ejercer primero el acceso si ya sabemos qué datos tienen.

¿Cómo funciona en la práctica?

El responsable puede darnos acceso de varias formas: 1. Enviándonos una copia de los datos 2. Dándonos acceso a una web segura donde verlos 3. En formato electrónico si lo pedimos así

Tienen un mes para respondernos, aunque pueden pedir dos meses más si es muy complejo. La primera vez es gratis, pero pueden cobrarnos si pedimos más copias.

Limitaciones importantes

No todo es posible con este derecho. Por ejemplo: - No nos dirán qué empleados han visto nuestros datos - No tienen que darnos copias de documentos originales - Pueden pedirnos que especifiquemos qué queremos si tienen muchos datos nuestros

Aspectos técnicos

En la práctica, como futuros informáticos, es importante saber que necesitaremos: 1. Sistemas para verificar la identidad de quien pide los datos 2. Una base de datos bien organizada para encontrar todos los datos de una persona 3. Sistemas seguros para entregar la información 4. Registro de todas las solicitudes y respuestas

El Derecho de Rectificación

El derecho de rectificación es uno de los derechos fundamentales ARCO, regulado en: - Artículo 16 del RGPD - Artículo 14 de la LOPDG - Artículo 32 del RLOPD

Consiste en el derecho del interesado a obtener la rectificación de datos personales inexactos que le conciernan, sin dilación indebida.

Características Principales

  1. Finalidad: Mantener la exactitud de los datos personales
  2. Alcance:
  3. Corrección de datos inexactos
  4. Complementación de datos incompletos
  5. Plazo: Sin dilación indebida (en general, 1 mes)

Ejercicio del Derecho

Requisitos de la Solicitud

El interesado debe: - Indicar los datos que quiere rectificar - Especificar la corrección - Aportar documentación justificativa (cuando sea necesario)

Excepciones Documentales

No se requiere documentación cuando: - El dato fue proporcionado por el propio interesado - Se presume la exactitud de la nueva información - No hay forma razonable de obtener justificación

Casos Especiales

Ficheros de Morosos

  • Especialmente relevante por su impacto
  • Necesidad de documentación rigurosa
  • Efectos inmediatos en derechos económicos

Listas Negras

  • Impacto significativo en derechos
  • Mayor necesidad de exactitud
  • Procedimientos específicos de verificación

Obligaciones del Responsable

  1. Verificación:
  2. Comprobar la identidad del solicitante

  3. Validar la documentación aportada

  4. Comunicación:

  5. Informar de la rectificación a los cesionarios

  6. Notificar al interesado el resultado

  7. Plazos:

  8. Responder en un mes
  9. Posible prórroga de dos meses (justificada)

Limitaciones

  • No puede usarse para cambiar hechos históricos
  • Debe existir inexactitud demostrable
  • No aplica a opiniones o valoraciones subjetivas
  • Debe respetar derechos de terceros

Relación con Otros Derechos ARCO

  • Acceso: Frecuentemente precede a la rectificación
  • Cancelación: Alternativa cuando la rectificación no es posible
  • Oposición: Complementario en ciertos casos

Aspectos Técnicos

Implementación

  1. Sistema de recepción de solicitudes
  2. Mecanismo de verificación de identidad
  3. Proceso de validación documental
  4. Sistema de trazabilidad de cambios
  5. Registro de comunicaciones

Medidas de Seguridad

  • Registro de modificaciones
  • Control de versiones
  • Backup de datos originales
  • Documentación de cambios

Derecho de Cancelación y Derecho al olvido

El Derecho de Cancelación o Supresión y el Derecho al Olvido son dos derechos fundamentales en la protección de datos que, aunque relacionados, tienen características y alcances diferentes.

El derecho de cancelación permite a cualquier persona solicitar que se eliminen sus datos personales cuando ya no son necesarios, cuando se retira el consentimiento que se dio para su tratamiento, cuando el tratamiento es ilícito o cuando existe una obligación legal de suprimirlos. Este derecho no es absoluto, ya que existen situaciones en las que no se pueden cancelar los datos, por ejemplo, cuando son necesarios para ejercer la libertad de expresión, cuando hay que cumplir una obligación legal, cuando se necesitan para fines de archivo o investigación, o cuando son necesarios para formular reclamaciones legales.

Por su parte, el derecho al olvido surgió específicamente para el entorno digital, a partir de la famosa sentencia del caso Google Spain en 2014. Este derecho permite a las personas solicitar que se eliminen de los resultados de búsqueda por su nombre aquellas informaciones que sean inadecuadas, no relevantes, excesivas o que se hayan quedado obsoletas. Lo interesante es que este derecho no requiere que se borre la información original de su fuente, sino que simplemente se impide que aparezca en los resultados cuando se busca por el nombre de la persona.

En la práctica, cuando alguien quiere ejercer el derecho de cancelación, el responsable del tratamiento debe primero verificar que se cumple alguna de las causas que lo justifican. Si es así, debe proceder a borrar los datos sin dilación indebida y, además, informar a otros responsables que puedan estar tratando esos mismos datos. Es importante entender que este proceso debe hacerse manteniendo la seguridad y documentando todas las acciones realizadas.

El derecho al olvido funciona de manera diferente. Cuando alguien lo solicita, por ejemplo ante Google, se evalúa caso por caso si la información que aparece en los resultados de búsqueda cumple con los criterios para ser "olvidada". Estos criterios tienen que ver con el tiempo transcurrido, la relevancia actual de la información y el interés público en que esa información siga siendo accesible. Si se acepta la solicitud, los enlaces dejan de aparecer en los resultados cuando se busca por el nombre de la persona, aunque seguirán apareciendo si se busca por otros términos.

Una diferencia fundamental entre ambos derechos es su alcance: mientras que la cancelación supone la eliminación real de los datos de las bases de datos donde se encuentren, el derecho al olvido solo afecta a la forma en que se puede acceder a una información que sigue existiendo. También son diferentes en su implementación técnica: la cancelación requiere procesos de borrado efectivo de datos, mientras que el olvido se centra en la modificación de los índices de búsqueda.

En cualquier caso, ambos derechos deben implementarse respetando unos plazos (generalmente un mes para responder) y siguiendo procedimientos que garanticen tanto la seguridad de los datos como los derechos de los interesados. Además, es fundamental mantener un registro de todas las solicitudes y las acciones realizadas, para poder demostrar que se han cumplido las obligaciones legales.

La correcta aplicación de estos derechos requiere un equilibrio delicado entre la protección de la privacidad y otros derechos igualmente importantes, como la libertad de información o el derecho a la investigación histórica. Por eso, es esencial analizar cada caso de forma individual y tener en cuenta tanto los aspectos legales como los técnicos en su implementación.

Derechos de oposición, decisiones individuales automatizadas y limitación de datos

El derecho de oposición nos permite solicitar que dejen de tratar nuestros datos personales en ciertas situaciones, incluso cuando el tratamiento sea legal. Por ejemplo, podemos oponernos cuando el tratamiento se basa en el interés legítimo del responsable o cuando los datos se usan para marketing directo. Es particularmente interesante en el caso del marketing, ya que aquí la oposición funciona de forma automática: en cuanto la solicitamos, deben dejar de usar nuestros datos para enviarnos publicidad, sin necesidad de justificar nada.

Un caso especialmente relevante es el de las decisiones individuales automatizadas. En el mundo actual, cada vez más decisiones que nos afectan las toman algoritmos o sistemas automatizados. Pensemos en la concesión de un crédito bancario o la selección de candidatos para un trabajo. La normativa nos da el derecho a oponernos a ser objeto de decisiones que nos afecten significativamente y que estén basadas únicamente en el tratamiento automatizado de nuestros datos. Si un banco rechaza automáticamente nuestra solicitud de crédito basándose solo en un algoritmo, podemos exigir que intervenga una persona en la decisión.

Por otro lado, el derecho a la limitación de datos funciona como una especie de "congelación temporal" del tratamiento. Podemos solicitar que, durante un tiempo, los datos solo se conserven pero no se usen para nada más. Este derecho es útil en varias situaciones: cuando estamos impugnando la exactitud de los datos y queremos que se verifiquen, cuando el tratamiento es ilícito pero no queremos que borren los datos, o mientras se verifica si los motivos legítimos del responsable prevalecen sobre los nuestros en un caso de oposición.

Estos derechos están interrelacionados y a menudo se ejercen de forma conjunta. Por ejemplo, podríamos oponernos a cierto tratamiento de nuestros datos y, mientras se resuelve nuestra solicitud, pedir la limitación del tratamiento para asegurarnos de que no se van a usar de forma inadecuada. O podríamos oponernos a una decisión automatizada y solicitar la limitación de los datos mientras se realiza la revisión humana de la decisión.

Es importante entender que estos derechos no son absolutos. El responsable puede denegar nuestra solicitud si tiene motivos legítimos imperiosos para el tratamiento que prevalezcan sobre nuestros intereses, o si el tratamiento es necesario para la formulación, ejercicio o defensa de reclamaciones. En el caso de las decisiones automatizadas, estas están permitidas si son necesarias para celebrar un contrato con nosotros, si las hemos autorizado explícitamente, o si existe una ley que las permite.

En la práctica, el ejercicio de estos derechos requiere que los sistemas de información estén diseñados para poder atender estas solicitudes. Por ejemplo, deben poder "marcar" datos cuyo tratamiento está limitado para que no se usen inadvertidamente, o deben poder identificar y detener procesos automatizados de toma de decisiones cuando sea necesario. También es fundamental que existan procedimientos claros para gestionar las solicitudes y que se mantenga un registro de todas las acciones realizadas.

La clave de estos derechos es que nos dan herramientas de control para proteger nuestros datos en un mundo cada vez más digitalizado y automatizado. No se trata solo de proteger nuestra privacidad, sino también de asegurarnos de que las decisiones importantes que nos afectan no se toman únicamente por máquinas, sin considerar las circunstancias particulares de cada caso.

Derecho a la portabilidad de los datos

El derecho a la portabilidad de los datos es uno de los derechos más novedosos que introdujo el Reglamento General de Protección de Datos. Este derecho responde a una realidad actual: vivimos en un mundo digital donde nuestros datos están dispersos entre diferentes servicios y plataformas, y necesitamos poder moverlos de un lado a otro de forma sencilla.

Imagina que llevas años usando un servicio de almacenamiento en la nube y quieres cambiarte a otro, o que tienes tu historial de ejercicio en una aplicación de fitness y quieres pasarlo a otra. La portabilidad te permite recibir tus datos en un formato estructurado, de uso común y lectura mecánica y transmitirlos a otro responsable del tratamiento sin que el responsable original pueda impedirlo.

Este derecho tiene dos dimensiones principales. La primera es el derecho a recibir los datos que hayamos facilitado a un responsable del tratamiento. La segunda es el derecho a que estos datos se transmitan directamente de responsable a responsable cuando sea técnicamente posible. Esta segunda opción es especialmente interesante porque nos ahorra tener que hacer nosotros de intermediarios en el proceso.

Sin embargo, la portabilidad no se aplica a cualquier tratamiento de datos. Solo podemos ejercerla cuando el tratamiento está basado en nuestro consentimiento o en la ejecución de un contrato, y únicamente afecta a los datos que hayamos facilitado nosotros mismos. Esto incluye tanto los datos que proporcionamos activamente (como nuestro nombre o dirección) como los que generamos con nuestra actividad (por ejemplo, nuestro historial de búsquedas o ubicaciones).

Un aspecto importante es que el derecho a la portabilidad no implica automáticamente el borrado de los datos del sistema original. Si queremos que nuestros datos se eliminen del primer servicio, deberemos ejercer específicamente el derecho de supresión. Además, el ejercicio de la portabilidad no debe afectar negativamente a los derechos y libertades de otros usuarios.

La implementación práctica de este derecho supone varios retos técnicos. Los responsables deben ser capaces de extraer los datos en formatos interoperables como JSON o XML, mantener la integridad y exactitud de los datos durante la transferencia, y garantizar la seguridad del proceso. También deben poder identificar qué datos están sujetos a portabilidad y cuáles no.

Un ejemplo práctico sería el caso de las redes sociales. Si queremos cambiar de red social, la portabilidad nos permitiría llevarnos nuestras fotos, mensajes y contactos a la nueva plataforma. O en el ámbito bancario, podríamos transferir nuestro historial de transacciones de un banco a otro al cambiar de entidad.

La portabilidad representa un paso importante hacia el empoderamiento digital de los usuarios. No solo nos da más control sobre nuestros datos, sino que también fomenta la competencia entre servicios digitales, ya que reduce las barreras para cambiar de un servicio a otro. Esto puede impulsar la innovación y mejorar la calidad de los servicios.

Los responsables del tratamiento tienen la obligación de atender las solicitudes de portabilidad en el plazo de un mes, aunque pueden prorrogarlo dos meses más si es necesario por la complejidad de la solicitud. La portabilidad debe ser gratuita, salvo que las solicitudes sean manifiestamente infundadas o excesivas.

En definitiva, el derecho a la portabilidad es una herramienta fundamental para garantizar nuestro control sobre los datos personales en la era digital. Nos permite movernos libremente entre servicios y plataformas, llevando con nosotros nuestra "identidad digital" y el valor que hemos generado con nuestra actividad en línea.