DERECHO A LA PROTECCIÓN DE DATOS: Se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificó su obtención
El Reglamento General de Protección de Datos de la Unión Europea (2016/679) de 27 de abril de 2016, entra en vigor a los 20 días de su publicación (24 de mayo de 2016), se conceden 2 años a los Estados miembros de la Unión Europea para que adopten su normativa, por lo que será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro a partir del 25 de mayo de 2018.
El artículo 99 del Reglamento recoge que el mismo entrará en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea, es decir de 24 de mayo de 2016; sin embargo su aplicación directa y obligatoria de todos sus elementos en cada Estado miembro se produjo a partir del 25 de mayo de 2018.
Las principales novedades que introduce el Reglamento Europeo de protección de datos se pueden resumir en:
Resumen de los 10 cambios más relevantes del Reglamento Europeo de protección de datos
1) Consentimiento expreso e inequívoco: libre, específico, informado y demostrable.
2) Categorías de datos especiales: origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos y datos biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud, datos relativos a la vida y orientación sexual.
3) Nuevas obligaciones como encargado del tratamiento: informar de las brechas de seguridad, comunicar en un máximo de 72 horas los fallos de seguridad y la obligación de un estudio de riesgo para las empresas que utilicen datos sensibles.
4) Privacy Impact Assessments: evaluaciones de impacto en protección de datos siempre que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas.
5) Promueve la creación de perfiles o la seudonimización, relevantes en entornos y procesos de CloudComputing y Big Data. Es una medida encaminada a la reducción de riesgos que consiste en la separación con “barreras” técnicas u organizativas que impidan la identificación posterior.
6) Data Protection Officer (Delegado de protección de datos). Profesionalización de la figura del responsable de protección el cual será obligatorio, ya sea en plantilla o externalizado, en determinados organismos, empresas e instituciones.
7) Data Mapping: se trata de elaborar un inventario del flujo de datos; identificar y registrar las principales bases de datos y posteriormente clasificarlas.
8) Amplía el concepto de “dato personal”, ya que incluirá los números de identificación en línea o de localización.
9) Nuevos derechos para los titulares de datos. A los derechos ARCO (acceso, rectificación, cancelación y oposición) se suman el derecho a la supresión (derecho al olvido), derecho a la limitación y derecho de portabilidad.
10) Tres principios: accountability o principio de control, rendición de cuentas y diligencia debida; privacy by design o implementar medidas y procedimientos técnicos y organizativos apropiados para garantizar el cumplimiento normativo y la protección de los derechos de los interesados; y, en su caso, garantizar por defecto el tratamiento de datos para fines concretos o privacy by default.
El derecho a la protección de datos personales deriva directamente del derecho fundamental a la intimidad, artículo 18.4 de la Constitución Española, en el cual se establece que La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
El derecho a la protección de datos personales también está reconocido por el Tribunal Constitucional en la STC 292/2000, de 30 de noviembre, que lo considera como un derecho autónomo e independiente.
DERECHO A LA PROTECCIÓN DE DATOS se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificó su obtención.
- Derechos generales de los ciudadanos en Internet: Art. 79, 80, 81, 82, 96 y 97
- Derechos específicos relacionados con los menores: Art. 83, 84, 92 y 97.2
- Derechos relacionados con el ámbito laboral: Art. 87, 88, 89, 90 y 91
- Derechos relacionados con los medios de comunicación digitales: Art. 85 y 86
- Derecho al olvido en Internet: Art. 93 y 94
- Derecho a la portabilidad en las redes sociales: Art. 95
La Agencia Española de Protección de Datos se configura como una autoridad administrativa independiente con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que se relaciona con el Gobierno a través del Ministerio de Justicia
- Disposición adicional decimocuarta: Los artículos 23 y 24 de la Ley Orgánica 15/1999, siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas
- Disposición transitoria cuarta: El artículo 22 de la Ley Orgánica 15/1999, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que transponga al Derecho español lo dispuesto en la citada directiva
- Disposición final quinta, modifica la Ley 14/1986, de 25 de abril, General de Sanidad, añadiendo un nuevo Capítulo II al Título VI: Tratamiento de datos de la investigación en salud (Artículo 105 bis)
- Disposición final novena, modifica el apartado 3 del artículo 16 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica
- Disposición final duodécima, se modifican los apartados 2 y 3 del artículo 28 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas
- En la disposición final decimocuarta se modifica añadiendo una nueva letra (bis) en el artículo 14 del texto refundido de la Ley del Estatuto Básico del Empleado Público
1) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
3) «limitación del tratamiento»: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro;
4) «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;
5) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;
6) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;
7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;
8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;
9) «destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;
10) «tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;
11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;
12) «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;
13) «datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona;
14) «datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;
15) «datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;
16) «establecimiento principal»:
a) en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;
b) en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento;
17) «representante»: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;
18) «empresa»: persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;
19) «grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empresas controladas;
20) «normas corporativas vinculantes»: las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta;
21) «autoridad de control»: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51;
22) «autoridad de control interesada»: la autoridad de control a la que afecta el tratamiento de datos personales debido a que:
a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control;
b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o
c) se ha presentado una reclamación ante esa autoridad de control;
23) «tratamiento transfronterizo»:
a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o
b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro;
24) «objeción pertinente y motivada»: la objeción a una propuesta de decisión sobre la existencia o no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión;
25) «servicio de la sociedad de la información»: todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (19);
26) «organización internacional»: una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.
Bibliografía