Documente Academic
Documente Profesional
Documente Cultură
Europa y en Latinoamérica
[3.1] ¿Cómo estudiar este tema?
TEMA
Esquema
TEMA 3 – Esquema
Protección de datos en España y en Latinoamérica
2
El Reglam ento General de
En España (LOPD) La PD en LATAM
PD de la UE
Marco
Térm inos Visión
Generalidades Principios Derechos norm ativo Nov edades Colom bia Ecuador
básicos general
actual
Ideas clave
Para estudiar este tema lee las Ideas clave, además de los siguientes documentos:
» También tendrás que leer las preguntas frecuentes sobre la Agencia Española de
Protección de Datos (AEPD) disponibles en el enlace siguiente:
https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/pregunt
as_frecuentes/index-ides-idphp.php
» Además, tendrás que leer las guías y publicaciones sobre la AEPD disponibles en el
siguiente enlace:
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/index-ides-
idphp.php
» Por último, tendrás que leer el Reglamento europeo de protección de datos disponible
en el siguiente enlace:
http://register.consilium.europa.eu/doc/srv?f=ST+5853+2012+INIT&l=es
Nota importante: tras la aprobación y entrada en vigor del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPDUE) en
España existe una situación de Transición de la LOPD al RGPDUE hasta el 25 de mayo
de 2018.
Es por ello que debemos atender al artículo 18.4 de la Constitución Española, que
establece que: «la Ley limitará el uso de la informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».
Y continúa diciendo: «se garantiza a los individuos un poder de disposición sobre esos
datos [...] que [...] nada vale si el afectado desconoce qué datos son los que poseen
terceros, quiénes los poseen y con qué fin» (primer párrafo del Fundamento Jurídico
6).
Nacional Comunitaria
En la elaboración de normas:
» En materia de telecomunicaciones:
» Otras funciones:
Términos básicos
En forma parecida se expresa la Directiva 95/46/CE que, en su artículo 1.1, indica que
«los Estados miembro garantizarán, con arreglo a las disposiciones de la presente
Directiva, la protección de las libertades y de los derechos fundamentales de las
personas físicas [...]» excluyendo también a las personas jurídicas.
Debemos destacar que los datos de carácter personal no son solamente los
alfabéticos mediante los que se representan las palabras en el lenguaje, sino que
también son datos de carácter personal los números, los gráficos, las fotos, los sonidos,
etc., siempre que conciernan o se puedan asociar a una persona física identificada o
identificable. Apartado 1.f del artículo 5 del R. D. 1720/2007.
Procedimiento de almacenamiento:
A) Públicos.
B) Privados.
Una de las obligaciones del responsable del fichero (sea de titularidad pública
o de titularidad privada) es la de inscribirlo en el Registro General de
Protección de Datos de la Agencia Española de Protección de Datos, y entre sus
obligaciones, la identificación del responsable del fichero, la finalidad del
mismo, su ubicación, el tipo de datos de carácter personal que contiene, las
medidas de seguridad y las cesiones de datos de carácter personal que se
prevean realizar.
Toda institución, pública o privada, que posea un fichero de datos de carácter personal
tiene la obligación de comunicarlo a la AEPD que, tras el análisis de su contenido y si
cumple con todos los requisitos exigidos por la propia LOPD y por el Reglamento, lo
inscribirá en el Registro General de Protección de Datos. También deberán notificarse a
la Agencia los cambios que se produzcan «en la finalidad del fichero automatizado, en su
responsable y en la dirección de su ubicación».
» Encargado del tratamiento (art 3.g de la LOPD): «la persona física o jurídica,
autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con
otros, trate datos personales por cuenta del responsable del tratamiento».
Ejemplos típicos de encargados lo son la asesoría laboral, contable o fiscal (que accede
a los datos de empleados, clientes o proveedores de su cliente para asesorarle).
» Afectado o interesado (art 3.e de la LOPD): «persona física titular de los datos que
sean objeto del tratamiento a que se refiere el apartado c) del presente artículo
[operaciones y procedimientos técnicos de carácter automatizado o no, que permitan
la recogida, grabación, conservación, elaboración, modificación, bloqueo y
cancelación, así como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias]».
Vemos que la Ley califica como «afectado» a todas las personas físicas cuyos
datos sean tratados o figuren en ficheros de los definidos en este artículo.
Podríamos decir qué afectados son: cliente, paciente, ciudadano, empleado… y qué
sería más oportuno haberlos denominado solamente como «interesado» o, en su caso,
como «titular del dato».
La LOPD deja incluidas únicamente las personas físicas y excluidas las personas
jurídicas de la protección conferida por sus disposiciones (con algunas excepciones)
Por ejemplo: cuando los datos se traten en el marco de la relación negocial, laboral o
administrativa, cuando exista una Ley que disponga lo contrario, etc.
» Fuentes accesibles al público (art 3.j de la LOPD): son aquellos ficheros cuya
consulta puede ser realizada por cualquier persona.
o Censo promocional: hoy en día no se han concebido como tal a nivel generalizado.
o Repertorios telefónicos en los términos previstos por su normativa específica
o Listas de personas pertenecientes a grupos de profesionales datos de nombre,
título, profesión, actividad, grado académico, dirección e indicación de su
pertenencia al grupo.
o Diarios y boletines oficiales
o Medios de comunicación.
» Cesión o comunicación de datos (art 3.i LOPD y art 5.1.c del R.D. RDLOPD):
«toda revelación de datos realizada a una persona distinta del interesado».
» Bloqueo de los datos (art 5.1.b del R.D. 1720/2007): «la identificación y reserva de
los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición
de las administraciones públicas, jueces y tribunales para la atención de las posibles
responsabilidades nacidas del tratamiento y solo durante el plazo de prescripción de
dichas responsabilidades».
Estos principios tienen que estar presentes en las tres fases del tratamiento de
los datos de carácter personal: recogida, tratamiento y utilización y, en su caso,
cesión o comunicación de los datos.
» La calidad de los datos (art. 4 de la LOPD): a través de este principio se indica los
parámetros que deben de guiar la recogida y el tratamiento de los datos de carácter
personal estableciendo qué tipo de datos se deben recoger, cómo se deben obtener,
almacenar, utilizar, mantener en un fichero y cuándo deben ser eliminados del
tratamiento. Los parámetros de dicho principio son los siguientes:
Solo se podrán recoger los datos por medios que no sean fraudulentos, desleales o
ilícitos:
Por último, los datos personales deben ser almacenados de manera que el titular de
los datos pueda ejercer su derecho de acceso cuando lo considere oportuno
» Los datos relativos a la salud (art. 8 de la LOPD): tal y como establece el artículo
8 de la LOPD: «sin perjuicio de lo que dispone el artículo 11 respecto de la cesión, las
instituciones y los centros sanitarios públicos y privados y los profesionales
correspondientes podrán proceder al tratamiento de los datos de carácter personal
relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los
mismos de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre
sanidad».
Por su parte, el apartado 1.g, del artículo 5 del Real Decreto 1720/2007 define los
datos de carácter personal relacionados con la salud como: «las informaciones
concernientes a la salud pasada, presente y futura, física o mental, de un individuo.
En particular, se consideran datos relacionados con la salud de las personas los
referidos a su porcentaje de discapacidad y a su información genética».
Además de las medidas de nivel básico y medio, las medidas de nivel alto se
aplicarán en los siguientes ficheros o tratamientos de datos de carácter
personal:
Los que se refieran a datos de ideología, afiliación sindical, religión, creencias,
origen racial, salud o vida sexual.
Los que contengan o se refieran a datos recabados para fines policiales sin
consentimiento de las personas afectadas.
Aquellos que contengan datos derivados de actos de violencia de género»
En concreto, el artículo 11.2 de la LOPD establece los supuestos en los que no será
necesario el consentimiento del interesado para comunicar sus datos a terceros:
» El acceso a los datos por terceros (art. 12 de la LOPD): en el acceso a los datos
por terceros, el encargado del tratamiento presta un servicio al responsable
del fichero que supone el acceso a datos de carácter personal, sin que tenga
la consideración legal de cesión o comunicación de datos. Dicha prestación de
servicios tiene que estar regulada en un contrato que cumpla con los requisitos del
artículo 12 de la LOPD.
Tal y como hemos visto en las definiciones, el encargado del tratamiento es «la
persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que,
solo o conjuntamente con otros, trate datos personales por cuenta del responsable del
tratamiento» (art. 3.g de la LOPD).
Los derechos de las personas que la LOPD recoge, en su Título III, en materia de
protección de datos, son:
» Derecho de oposición (art. 6.4 LOPD): en aquellos casos en los que no resulte
necesario el consentimiento del interesado para el tratamiento de sus datos y siempre
que una ley no disponga lo contrario, este podrá oponerse al tratamiento de los
mismos cuando existan motivos fundados y legítimos relativos a una concreta
situación personal. El responsable del fichero tendrá que proceder a la exclusión de
los datos relativos al afectado.
Intentaremos resumir a continuación cuales son los principales cambios que el RGPDUE
ha supuesto.
El marco vigente hasta la actualidad en materia de privacidad en Europa tenía como base
principalmente la Directiva 95/46/CE del Parlamento europeo y del Consejo, de 24 de
octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos. Y cada uno de los
estados miembros traspuso esta Directiva comunitaria a su ordenamiento jurídico de
forma diferente, lo que supuso existencia de asimetrías entre ellos.
Por ello el RGPDUE llega con un claro objeto de armonizar la legislación en la U.E.
«igualando» los derechos de sus ciudadanos y (como apunta su considerando 9)
rompiendo obstáculos al libre ejercicio de las actividades económicas, evitando que se
falsee la competencia y que no se pueda impedir que las autoridades de control cumplan
sus funciones:
Ello enlaza con la propia forma jurídica que se ha escogido: hemos pasado de una
directiva a un reglamento. Como sabemos la Directiva requiere de desarrollo ulterior por
parte de los estados (cosa que por ejemplo se ha hecho en España con la Ley Orgánica
15/1999, de 13 de diciembre, de protección de datos de carácter personal – LOPD- y
correspondientes normas de desarrollo). En cambio, el reglamento no lo requiere. Lo
anterior sin perjuicio de que se puedan aprobar normas que sean necesarias para
permitir o facilitar la aplicación del Reglamento, pero que no podrán ser contrarias ni
sobrepasar los límites que el mismo dispone.
Es importante, de forma previa, apuntar que a pesar de que con el RGPDUE se producen
cambios en algunos principios, derechos y obligaciones, que gran parte de la columna
vertebral del derecho a la protección de datos de la actual regulación se mantiene intacta.
Principales cambios
A continuación, indicamos cuáles son los principales cambios que se avecinan, aunque
hay otros que no pueden ser desarrollados en este resumen.
o Datos genéricos.
o Datos de biometría.
o Establecimiento principal.
o Elaboración de perfiles.
o Empresa y grupo de empresas.
o Normas corporativas vinculantes.
o Autoridad de control interesada.
o Violaciones de datos personales.
o Tratamiento transfronterizo de datos.
o Objeción pertinente y motivada.
o Pseudoanonimización.
o Cesionarios.
o Restricción de tratamiento.
o Objeción pertinente y motivada.
o Servicio de la sociedad de la información.
o Organización internacional.
Debe estar claramente distinguido del resto del texto con un lenguaje claro y sencillo.
» Derechos del titular de los datos: aparte de los derechos de acceso, rectificación,
cancelación y oposición (A.R.C.O) cuyos plazos para atender las solicitudes de
ejercicio por el interesado cambian (indistintamente el derecho, prevé el plazo de 1
mes, pudiendo extenderse a otros 2 meses más, atendiendo a la complejidad o al
número de estos) se han introducido nuevos derechos, aunque también no son
considerados absolutos e ilimitados:
Se trata de una nueva figura incluida en el reglamento europeo, la cual será exigible en
algunos casos. En el mapa se representa la figura adoptada por los diversos países de la
UE en relación a la protección de datos de naturaleza personal.
Fuente: http://www.aspectosprofesionales.info/2012/04/el-delegado-de-proteccion-de-datos.html
Términos utilizados:
Supuestos de exigencia:
Cabe añadir que el montante económico de las multas aumenta considerablemente. Con
el fin de prevenir comportamientos irregulares se hacen efectivas las nuevas sanciones:
Por regla general los países latinoamericanos siguen un modelo más europeo que de
EEUU. Se podría decir que Argentina es el país más similar a Europa (el único reconocido
por la UE con un nivel adecuado de protección) aunque su inicial avance ha dado paso a
que otros países hayan avanzado más en este tiempo y hoy en día podríamos decir que
los países más avanzados en protección de datos en Latinoamérica son Chile, Colombia,
México y Perú.
Hay aspectos comunes a casi todos los países: inscripción de los ficheros/bases de datos,
necesidad de consentimiento como principal causa de legitimación del tratamiento de
datos, necesidad de cumplir con el deber de información a los interesados,
reconocimientos de derechos a estos (acceder a su información, modificarla, suprimirla
etc., aunque con diferencias), regulación de los accesos por parte de terceras
organizaciones que presten servicios, formación/concienciación de los usuario y
medidas de seguridad.
En relación con las medidas de seguridad hay que distinguir entre algunos países en los
que no se han desarrollado, otros en los que sí y algunos países en los que incluso se exige
en el sector público la ISO 27002, cosa similar a lo que sucede en España con en el
Esquema Nacional de Seguridad.
Colombia
o Ley estatutaria 1266 de 2008, por la cual se dictan las disposiciones generales del
hábeas data y se regula el manejo de la información contenida en bases de datos
personales, en especial la financiera, crediticia, comercial, de servicios y la
proveniente de terceros países y se dictan otras disposiciones.
o Decreto 1727 de 2009 por el cual se determina la forma en la cual los operadores
de los bancos de datos de información financiera, crediticia, comercial, de servicios
y la proveniente de terceros países deben presentar la información de los titulares
de la información.
o Decreto 2952 de 2010 por el cual se reglamentan los artículos 12 y 13 de la Ley 1266
de 2008.
o Ley estatutaria 1581 de 2012 reglamentada parcialmente por el Decreto Nacional
1377 de 2013 por la cual se dictan disposiciones generales para la protección de
datos personales.
o Decreto 1377 de 2013 por el cual se reglamenta parcialmente la Ley 1581 de 2012.
o Decreto 886/2014 que reglamenta el artículo 25 de la Ley 1581 de 2012 relativa al
Registro Nacional de Bases de Datos.
Puedes consultar aquí todas las disposiciones legales en materia de protección de datos
en Colombia utilizando el siguiente buscador:
http://www.sic.gov.co/normatividad?field_tipo_de_norma_value=All&field_tema_ge
neral_tid=5&field_anos_value=All
» Algunas reflexiones:
Autorización (art. 9): los datos solo pueden ser objeto de tratamiento o cesión si el
interesado ha presentado previamente su consentimiento.
o Requerimiento por entidad pública para ejercicio de sus funciones u orden judicial.
o Datos de naturaleza pública.
o Casos de urgencia médica o sanitaria.
o Tratamiento autorizado por ley (fines estadísticos, históricos o científicos).
o Datos relacionados con Registro Civil.
Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros
realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
Esto será normalmente como consecuencia de una relación jurídica para prestar un
servicio.
Los responsables y encargados de las bases de datos deben adoptar las medidas técnicas
y organizativas necesarias que garanticen la seguridad de los datos personales y eviten
su alteración, pérdida, tratamiento o acceso no autorizado (art. 17 d y 18 d de la Ley).
» Formación:
Art. 27: políticas internas efectivas. 2. Adopción de mecanismos internos para poner en
práctica estas políticas incluyendo herramientas de implementación, entrenamiento y
programas de educación.
Las sanciones indicadas en el presente artículo solo se aplican para las personas de
naturaleza privada. En el caso de una autoridad pública se remitirá la actuación a la
procuraduría general de la nación, para que adelante la investigación respectiva.
Aún no se ha aprobado una ley que de forma general desarrolle este derecho, pero el
12 de julio de 2016 se aprobó un proyecto de Ley Orgánica de Protección de los
Derechos de la Intimidad y Privacidad sobre los Datos Personales.
Lo + recomendado
No dejes de ver…
Protección de datos
En este vídeo verás cómo la protección de datos es tu derecho y hay que conocerlo.
No dejes de visitar…
+ Información
A fondo
Actividades
El trabajo consiste en la elaboración de una EIPD. Para ello tendrás que tener en cuenta
las siguientes cuestiones:
» Debes partir del siguiente supuesto de hecho: una clínica dental situada en España
utiliza determinado software de gestión de pacientes instalado en modo local. La
empresa SW System S.L es la proveedora del mismo, a la vez la encargada de efectuar
su mantenimiento.
El resto de datos que se requieran pueden ser ficticios e inventados porque lo relevante
es el aprendizaje de la mecánica o proceso de elaboración.
» Para ello debe utilizarse la plataforma Sandas GRC Privacidad, cuyo acceso se
facilitará.
Test
10. ¿Quién tiene que aceptar el umbral de riesgo aceptable en una organización o riesgo
residual es:
A. La propia organización.
B. El consultor.
C. El DPO.
D. La autoridad de protección de datos.