Protección de datos personales
En Protección de Datos, rige de forma imperativa el RGPD, el cual define en el artículo 4, apartado 1, como «datos personales»: «toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».
En el mismo artículo 4, apartado 2 RGPD se define el concepto de «tratamiento»: «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;».
De este modo, podemos concluir, que un nombre propio, Juan o Manolo, no es un dato personal, pues no hace que per se sean identificables. Eso sí, podrá convertirse en un dato personal si va acompañado de otras circunstancias que lo hagan identificado o identificable. A efectos prácticos, Manolo, «el que vive en la Avenida de España, 45», «el moreno» o «el que trabaja en el taller», o el teléfono móvil de Manolo sí son datos personales. Y el tratamiento se producirá por ejemplo, si anotamos esos datos en la agenda de nuestra peluquería porque Manolo es cliente y quiere coger cita, ¿sabe Manolo o tiene la garantía de que ese teléfono puede ser usado para otros fines que no sean coger cita en la peluquería?
Protección de datos empresas
Adquiere relevancia la protección de datos personales cuando este tratamiento lo realiza un empresario, pues recordemos que el RGPD no tiene aplicación en el ámbito doméstico. Y digo en el ámbito doméstico, y no de personas físicas, porque en España la figura del trabajador autónomo no es estrictamente una empresa, sino que actúa en el tráfico mercantil como persona física e igualmente tiene la consideración de empresario, siendo plenamente aplicable en su actividad la protección de datos personales para empresas del RGPD.
Poniendo un ejemplo, una fotografía que tome un particular de otro particular en la vía pública para mostrarla a sus familiares y mofarse de su aspecto físico, no será objeto de protección por el RGPD por haberse tomado en un ámbito doméstico o entre particulares. Ello no obsta para que sí existan otros mecanismos de protección civiles e, incluso penales.
En otra ocasión escribiré sobre el ciclo de vida de los datos, pero en este momento, y haciendo uso de la imaginación, pensemos por un momento los datos que tratamos a diario en nuestro trabajo y quiénes los manejan.
…tic tac tic tac.
Protección de datos para empresas
A los únicos efectos de hacer o recibir facturas estamos dando y recibiendo datos personales identificativos: nombre, apellidos, DNI, domicilio. Y eso sólo para cumplir con una obligación legal.
Según la actividad, no sólo trataremos datos identificativos para facturar. Por ejemplo, la panadería que regenta Pepe vende pan a un bar cuyo propietario es un autónomo, y también deberá proteger los datos personales de este. Seguramente también Pepe anote el número de barras de pan, el número de días a la semana, el horario y hasta si lo recoge Juan, el propio gerente, o Mauricio, uno de sus trabajadores. ¿Y si le vende pan a Pepito Pérez SL deberá también proteger los datos de la empresa? Tienes la respuesta más arriba y en artículo 4.1 RGPD. Si Pepe en su panadería tuviese empleados, deberá salvaguardar y tomar medidas respecto a los datos económicos y familiares de los trabajadores (si están casados, si tienen hijos), y además debe garantizar en su organización, que los datos que puedan tratar los empleados lo hacen bajo las directrices del RGPD, pues Pepe es el Responsable del Tratamiento.
Y esto sólo vendiendo pan.
Categorías especiales de datos personales
Ahora bien, ¿son todos los datos iguales? ya hemos visto el tratamiento de datos personales que se lleva a cabo en un negocio de panadería, piensa en el tipo de datos que puede tratar un Hospital, un despacho de Abogados, o una red social como Facebook. Hay determinados datos personales que implican garantizar todavía más una mayor protección de los mismos, nos referimos también a lo que el RGPD refiere en su artículo 9 como categorías especiales de datos personales, y son los siguientes:
- datos personales que revelen el origen étnico o racial,
- opiniones políticas,
- convicciones religiosas o filosóficas,
- afiliación sindical,
- tratamiento de datos genéticos,
- datos biométricos dirigidos a identificar de manera unívoca a una persona física,
- datos relativos a la salud,
- datos relativos a la vida sexual o las orientación sexuales de una persona física.
Estos datos sólo podrán tratarse bajo determinadas circunstancias (lo dejamos para otro día, pero si quieres adelantar, está en el artículo 9.2 RGPD).
Protección de datos y su ciclo de vida. Una aproximación.
Nos remitimos al ciclo de vida de los datos, sin entrar en profundidad. Resumiendo:
Un dato nace, se trata, se almacena, se cede (o no) y muere (se destruye).
Es decir, los datos personales que se recogen tienen vida y son dinámicos, se mueven, por ejemplo, los datos recogidos en un formulario web, no están en la nada para que los recibamos en nuestro e-mail, donde queda almacenado, o desde donde podemos llevarlo a otro sitio (descargarlo en nuestro ordenador, imprimirlo para almacenar físicamente, en una base de datos, cederlo a terceros…). Y pasado un tiempo, se destruye.
Te planteo varias preguntas, ¿sabes dónde está el servidor de tu web?, ¿sabes si ese prestador de servicios cumple con el RGPD o si tiene obligación de hacerlo?, ¿sabes si tu propio servidor donde se almacenan datos tiene protocolos de seguridad?, ¿usas cifrado en los correos electrónicos?, ¿conoces la seguridad de tus dispositivos? porque también te descargas aquí los archivos que te envían tus clientes, ¿verdad?
Como ves, no es sencillo adaptar la protección de datos de las empresas a la protección de datos, pues requiere no sólo de conocimientos técnicos y precisos de los procesos de la actividad, sino de amplios conocimientos legales y tecnológicos. De hecho, en el RGPD (Considerando 97 y artículo 37.5) y en la LOPDPGDD (artículo 35), se recomienda que el Delegado de Protección de Datos o asesor sea una persona con conocimientos especializados en Derecho.
Cuenta con profesionales en Protección de Datos. Contáctanos.
Comentarios recientes