PROTECCIÓN DE DATOS Y GARANTÍA DE LOS DERECHOS DIGITALES

Por Sandra Ambrosio Navas

Se conocerá el contexto normativo de la protección de datos, aprendiendo sobre los principios por los que se rige la protección de datos

Además, se Identificarán las distitnas medidas de cumplimiento, reconociendo las funciones del delegado de protección de datos, así como el responsable y encargado del tratamiento.

Tema 1. Contexto normativo de la protección de datos
1.1 Contexto normativo de la Protección de Datos
1.2 Reglamento general de Protección de Datos
1.2.1 Objeto, ámbito de aplicación y entrada en vigor del Reglamento Europeo
1.2.2 Estructura del reglamento general de protección de datos
1.3 Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales
1.3.1 Objeto, ámbito de aplicación y entrada en vigor de la ley orgánica de protección de datos y garantía de los derechos digitales
1.3.2 Estructura de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales

Tema 2. Principios de protección de datos
2.1 Introducción
2.2 Principios de protección de datos
2.2.1 Exactitud de los datos
2.2.2 Deber de confidencialidad e integridad
2.2.3 Consentimiento del afectado
2.2.4 Categorías especiales de datos
2.2.5 Datos de naturaleza penal
2.2.6 Consentimiento de menores de edad
2.2.7 Tratamiento de datos amparado por la ley
2.2.8 El resto de principios de protección de datos

Tema 3. Derechos de las personas y tratamientos específicos
3.1 Transparencia e información
3.2 Ejercicio de los derechos
3.2.1 Derecho de acceso
3.2.2 Derecho de rectificación
3.2.3 Derecho de supresión u olvido
3.2.4 Derecho a la limitación del tratamiento
3.2.5 Derecho a la portabilidad
3.2.6 Derecho de oposición
3.2.7 Derechos de las personas fallecidas
3.3 Notificación del ejercicio de los derechos
3.4 tratamientos específicos
3.4.1 Empresas y profesionales
3.4.2 Sistemas de información crediticia
3.4.3 Operaciones mercantiles
3.4.4 Videovigilancia
3.4.5 Tratamientos de datos de salud
3.4.6 Sistemas de exclusión publicitaria
3.4.7 Sistemas de información de denuncias internas
3.4.8 Tratamiento de datos en interés público
3.4.9 Tratamiento de datos administrativos

Tema 4. Responsabilidad activa y medidas de cumplimiento
4.1 Responsabilidad activa
4.2 Medidas de cumplimiento
4.2.1 Privacidad desde el diseño y por defecto
4.2.2 Evaluación de impacto
4.2.3 Violaciones de seguridad

Tema 5. Responsable de tratamiento y encargado de tratamiento
5.1 Responsable del tratamiento
5.1.1 Obligaciones del responsable del tratamiento
5.2 Encargado del tratamiento
5.2.1 Obligaciones del encargado del tratamiento
5.3 Medidas de seguridad del tratamiento
5.4 Bloqueo de datos
5.5 Códigos de conducta
5.5.1 Acreditación de instituciones de certificación
5.6 Registro de actividad

Tema 6. Delegado de protección de datos
6.1 Figura y designación del delegado de protección de datos
6.2 Funciones y cualificación del delegado de protección
6.3 Posición del delegado de protección
6.4 Intervención del delegado en caso de reclamación
6.5 Proceso de certificación de los delegados de protección
6.5.1 Esquema de certificación según el esquema de la aepd


Tema 7. Transferencias internacionales
7.1 Transferencias internacionales
7.2 Transferencias internacionales a países con nivel de protección adecuado
7.3 Transferencias internacionales a países que carecen de un nivel de protección adecuado
7.3.1 Con adopción de garantías adecuadas
7.3.2 Sin adopción de garantías adecuadas
7.3.3 Excepciones en situaciones específicas
7.3.4 Supuestos sometidos a información previa
7.4 Normas corporativas vinculantes
7.5 Cooperación internacional en el ámbito de la protección de datos personales

Tema 8. Autoridades de control de protección de datos
8.1 La agencia española de protección de datos
8.1.1 Régimen jurídico y económico
8.1.2 Organización de la AEPD
8.1.3 Funciones
8.1.4 Potestades
8.2 Autoridades autonómicas de protección de datos
8.2.1 Vulneraciones de la LOPD – GDD y del reglamento general de protección de datos
8.3 Cooperación entre las autoridades de

• Idioma: Español
• Editorial: Editorial Elearning
• Fecha de lanzamiento: 21 ene 2019

Vista previa del libro

1.png

Protección de Datos y Garantía de los Derechos Digitales

Elaborado por: Sandra Ambrosio Navas

Edición: 1.0

EDITORIAL ELEARNING S.L.

ISBN: 978-84-17814-41-0

No está permitida la reproducción total o parcial de esta obra bajo cualquiera de sus formas gráficas

o audiovisuales sin la autorización previa y por escrito de los titulares del depósito legal.

Impreso en España - Printed in Spain

UD1.Contexto normativo de la protección de datos 9

1.1. Contexto normativo de la protección de datos 11

1.2. Reglamento general de protección de datos 13

1.2.1. Objeto, ámbito de aplicación y entrada en vigor del reglamento europeo 13

1.2.2. Estructura del reglamento general de protección de datos 14

1.3. Ley orgánica de protección de datos y garantía de los derechos digitales 15

1.3.1. Objeto, ámbito de aplicación y entrada en vigor de la ley orgánica de protección de datos y garantía de los derechos digitales 15

1.3.2. Estructura de la ley orgánica de protección de datos y garantía de los derechos digitales 17

1.3.3. Normativa sectorial afectada por la ley orgánica de protección de datos y garantía de los derechos digitales 18

1.4. Definiciones 19

UD2.Principios de protección de datos 29

2.1. Introducción 31

2.2. Principios de protección de datos 31

2.2.1. Exactitud de los datos 31

2.2.2. Deber de confidencialidad e integridad 32

2.2.3. Consentimiento del afectado 33

2.2.4. Categorías especiales de datos 33

2.2.5. Datos de naturaleza penal 35

2.2.6. Consentimiento de menores de edad 36

2.2.7. Tratamiento de datos amparado por la ley 36

2.2.8. El resto de principios de protección de datos 37

UD3.Derechos de las personas y tratamientos específicos 45

3.1. Transparencia e información 47

3.2. Ejercicio de los derechos 49

3.2.1. Derecho de acceso 51

3.2.2. Derecho de rectificación 52

3.2.3. Derecho de supresión u olvido 52

3.2.4. Derecho a la limitación del tratamiento 53

3.2.5. Derecho a la portabilidad 54

3.2.6. Derecho de oposición 54

3.2.7. Derechos de las personas fallecidas 55

3.3. Notificación del ejercicio de los derechos 56

3.4. Tratamientos específicos 56

3.4.1. Empresas y profesionales 56

3.4.2. Sistemas de información crediticia 57

3.4.3. Operaciones mercantiles 58

3.4.4. Videovigilancia 59

3.4.5. Tratamientos de datos de salud 60

3.4.6. Sistemas de exclusión publicitaria 61

3.4.7. Sistemas de información de denuncias internas 62

3.4.8. Tratamiento de datos en interés público 62

3.4.9. Tratamiento de datos administrativos 62

UD4.Responsabilidad activa y medidas de cumplimiento 71

4.1. Responsabilidad activa 73

4.2. Medidas de cumplimiento 73

4.2.1. Privacidad desde el diseño y por defecto 74

4.2.2. Evaluación de impacto 74

4.2.3. Violaciones de seguridad 82

UD5.Responsable de tratamiento y encargado de tratamiento 91

5.1. Responsable del tratamiento 93

5.1.1. Obligaciones del responsable del tratamiento 93

5.1.2. Corresponsables del tratamiento 95

5.1.3. Representantes de responsables y encargados fuera de la Unión Europea 95

5.2. Encargado del tratamiento 96

5.2.1. Obligaciones del encargado del tratamiento 96

5.3. Medidas de seguridad del tratamiento 98

5.4. Bloqueo de datos 98

5.5. Códigos de conducta 99

5.5.1. Acreditación de instituciones de certificación 100

5.6. Registro de actividad 101

UD6.Delegado de protección de datos 111

6.1. Figura y designación del delegado de protección de datos 113

6.2. Unciones y cualificación del delegado de protección 115

6.3. Posición del delegado de protección 116

6.4. Intervención del delegado en caso de reclamación 117

6.5. Proceso de certificación de los delegados de protección 117

6.5.1. Esquema de Certificación según el Esquema de la AEPD 118

UD7.Transferencias internacionales 127

7.1. Transferencias internacionales 129

7.2. Transferencias internacionales a países con nivel de protección adecuado 129

7.3. Transferencias internacionales a países que carecen de un nivel de protección adecuado 131

7.3.1. Con adopción de garantías adecuadas 131

7.3.2. Sin adopción de garantías adecuadas 132

7.3.3. Excepciones en situaciones específicas 133

7.3.4. Supuestos sometidos a información previa 133

7.4. Normas corporativas vinculantes 134

7.5. Cooperación internacional en el ámbito de la protección de datos personales 136

UD8.Autoridades de control de protección de datos 143

8.1. La Agencia Española de Protección de Datos 145

8.1.1. Régimen jurídico y económico 145

8.1.2. Organización de la AEPD 146

8.1.3. Funciones 147

8.1.4. Potestades 149

8.2. Autoridades autonómicas de protección de datos 155

8.2.1. Vulneraciones de la LOPD – GDD y del reglamento general de protección de datos 155

8.3. Cooperación entre las autoridades de control 155

UD9.Vulneración de la normativa de protección de datos y regimen sancionador 163

9.1. Procedimientos de vulneración de protección de datos personales 165

9.1.1. Inicio de un procedimiento de vulneración de protección de datos personales 165

9.1.2. Régimen jurídico y alcance de los procedimientos de vulneración 166

9.1.3. Trámite de las reclamaciones 166

9.1.4. Actuaciones previas de investigación 167

9.1.5. Medidas provisionales 168

9.2. Régimen sancionador 168

9.2.1. Categorías de infracciones 169

9.2.2. Consideraciones en las infracciones 176

9.2.3. Prescripción de las sanciones 178

UD10. Garantía de los derechos digitales 187

10.1. Los derechos digitales 189

10.2. Acceso universal, neutro y seguro a internet 189

10.3. Educación digital 190

10.4. Protección de los menores en internet 190

10.5. Derecho de rectificación y actualización de datos en internet 191

10.6. Derecho al olvido en internet 191

10.7. Derecho de portabilidad en servicios de la información 192

10.8. Derechos digitales en el ámbito laboral 192

10.8.1. Dispositivos digitales 193

10.8.2. Desconexión digital 193

10.8.3. Sistemas de geolocalización 194

10.9. Derecho al testamento digital 194

10.10. Políticas de impulso de los derechos digitales 195

Soluciones 203

1.1. Contexto normativo de la protección de datos

1.2. Reglamento general de protección de datos

1.2.1. Objeto, ámbito de aplicación y entrada en vigor del reglamento europeo

1.2.2. Estructura del reglamento general de protección de datos

1.3. Ley orgánica de protección de datos y garantía de los derechos digitales

1.3.1. Objeto, ámbito de aplicación y entrada en vigor de la ley orgánica de protección de datos y garantía de los derechos digitales

1.3.2. Estructura de la ley orgánica de protección de datos y garantía de los derechos digitales

1.3.3. Normativa sectorial afectada por la ley orgánica de protección de datos y garantía de los derechos digitales

1.4. Definiciones

1.1.Contexto normativo de la protección de datos

Antes de introducirte en el mundo de la protección de datos personales, lo primero que has de saber es su origen, y cómo ha evolucionado desde sus principios hasta adaptarse a un nuevo mundo en el que los datos personales se encuentran en redes sociales, nubes digitales y un sinfín de registros y bases de datos, también en papel por supuesto, tanto de entidades públicas como privadas.

La raíz de donde emergen los derechos fundamentales de los ciudadanos en España, y que incluye el de la protección de datos personales, es la Constitución española, y en cuyo artículo 18 ya protege la intimidad personal y de la propia imagen, y estipula establecer un límite al uso de la informática para dicha protección y garantizar el pleno ejercicio de los derechos de los ciudadanos.

También aparece contemplado en la Carta de los Derechos Fundamentales de la Unión Europea, y en el Tratado de Funcionamiento de la Unión Europea.

Posteriormente, como primera ley orgánica reguladora del tratamiento automatizado de datos personales es España, encontramos la Ley 5/1992. Surgió en un intento de regularizar el progreso informático en cuanto al uso de datos personales, pero fue reemplazada al poco tiempo por la Ley 15/1999, a fin de transponer a nuestro derecho la Directiva 95/46/CE.

Esta Directiva, la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos, se conoció como la directiva de protección de datos, y fue la primera norma en común que reguló en Europa el derecho a la intimidad, y en particular la protección del tratamiento de los datos personales. Debía transponerse a cada estado miembro, y en España supuso el desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal 15/1999.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal supuso la gran introducción a esta temática en nuestro país, que de hecho pasó prácticamente inadvertida en sus primeros años, hasta 2008 cuando entra en vigor su reglamento de desarrollo, el Real Decreto 1720/2007. Su periodo de vigencia ha sido de casi 20 años, entre los años 2000 y 2018, cuando en diciembre es derogada por la actual Ley Orgánica 3/2018, y de hecho durante sus años de convivencia con el Reglamento UE 2016/679 (desde 2016 hasta 2018) siguió siendo de obligado cumplimiento en aquellos artículos que no contradijeran al reglamento europeo.

El Reglamento de desarrollo de la Ley 15/1999, aprobado por el RD 1720/2007, vino a establecer una metodología de aplicación que asegurase la protección de los datos personales, cumpliendo los requisitos establecidos en dicha ley. Su vigencia y aplicación fue pareja a la de la Ley 15/1999.

En el año 2018, cuando ya era obligatoria la aplicación del reglamento europeo pero aún no se había publicado una ley que supusiera su aplicación en España (y seguía vigente de hecho la Ley 15/1999), se publicó de manera urgente una serie de medidas que paliaran este incumplimiento, el Real Decreto-Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. Con la publicación de la Ley 3/2018 en diciembre de ese mismo año, quedó derogada.

Por último, hemos llegado a la normativa que se encuentra actualmente de aplicación en España, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (y por el que se deroga la Directiva 95/46/CE), y la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales. En ambas se basa este proceso formativo, por lo que las estudiarás en profundidad a lo largo de los contenidos.

1.2.Reglamento general de protección de datos

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos, conocido como reglamento general de protección de datos, es la propuesta definitiva de la Unión Europea para armonizar el mosaico normativo presente en los Estados miembro de la unión, y que podían suponer unas diferencias insalvables en esta temática para la protección de los derechos de los europeos.

Se enfrenta a novedades a las que debe adaptarse, como la globalización o el desarrollo tecnológico, con la extensión en el intercambio y transferencia de datos personales que esto supone. De ahí que una de las principales novedades que introduce es el derecho a la portabilidad de datos o la regulación de las transferencias internacionales en lo que respecta a éste ámbito.

Pretende asegurar el respeto de la vida privada y familiar, el respeto del domicilio, de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, la conciencia y la religión, la libertad de expresión y de información, o la diversidad cultural, religiosa y lingüística, entre otras. De hecho, con este objetivo, otra novedad muy destacada en este reglamento es la responsabilidad proactiva, como un paso más en la prevención para proteger estos derechos en los ciudadanos.

Apuesta por un lenguaje claro y sencillo en la información ofrecida a los usuarios en el tratamiento de sus datos personales, por un consentimiento firme e inequívoco obtenido de los interesados para tratar sus datos, incluye a los menores de edad, pero no a los fallecidos, y obliga a un registro de las actividades con tratamiento de datos personales.

El reglamento supone una serie de imposiciones a los Estados miembro, con el objetivo de esa homogenización que mencionamos antes, pero a su vez otorga un margen de maniobra en ciertos aspectos, que en España vienen delimitados por la Ley Orgánica 3/2018.

1.2.1.Objeto, ámbito de aplicación y entrada en vigor del reglamento europeo

El objetivo del Reglamento (UE) 2016/679 es proteger los derechos de las personas en lo que se refiere sus datos personales y la libre circulación de éstos, concretamente un tratamiento automatizado y no automatizado, en todo el conjunto de la Unión.

Este reglamento no se aplica a: actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión; en las actividades de las Disposiciones específicas sobre política exterior y de seguridad común según el Tratado de la Unión Europea (TUE); por las autoridades competentes en actividades de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención; tratamientos bajo la protección de materias clasificadas; los realizados por personas en actividades personales o domésticas; y el tratamiento de datos personales de personas fallecidas.

En su último artículo, el número 99, es donde especifica que a partir de su entrada en vigor, sería obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro. Al ser publicado en el Diario Oficial de la Unión Europea el 4 de mayo de 2016, determina su entrada en vigor a los 20 días de su publicación, por lo que entra en vigor el 24 de mayo de 2016, fecha desde la cual sus requisitos pueden empezar a ser aplicados por el conjunto de la Unión Europea. Sin embargo, estipula que hasta el 25 de mayo de 2018 no sería de obligado cumplimiento, tras dos años de plazo otorgado para realizar las adaptaciones y modificaciones necesarias por cada uno de los estados miembro, ya que es de aplicación a todos ellos, y fecha desde la cual es obligatorio en España.

1.2.2.Estructura del reglamento general de protección de datos

Inicia su articulado con el objeto de su desarrollo, la protección del tratamiento de los datos personales, de los derechos y libertades de las personas. En su Capítulo II establece los principios generales para los ciudadanos en su protección de los datos personales, y su consentimiento, incluyendo a niños y categorizando los datos personales que pueden ser considerados especiales. Los derechos para los usuarios son abordados en el Capítulo III, y el Responsable y Encargado de Tratamiento, en el IV; también en este último capítulo es instaurada la figura del Delegado de Protección de Datos. En el siguiente capítulo reglamenta las transferencias internacionales de datos personales, y el Capítulo VI las Autoridades de control independientes. El Capítulo VII desarrolla la cooperación y coherencia entre las distintas autoridades, y la asistencia mutua que deben prestarse, y en el Capítulo VIII recursos, responsabilidad y sanciones. Finalmente, las disposiciones relativas a situaciones específicas de tratamiento, los actos delegados y de ejecución y las disposiciones finales suponen los tres últimos capítulos del Reglamento (UE) 2016/679.

1.3.Ley orgánica de protección de datos y garantía de los derechos digitales

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales es la aplicación en nuestro país del reglamento general de protección de datos europeo. En esta adaptación al ordenamiento jurídico español, se contemplan por tanto los principios y derechos de protección de datos personales, las categorías especiales de datos, las figuras de responsable del tratamiento y encargado del tratamiento, la transferencia de datos internacionales o los derechos y libertades digitales, entre otros muchos aspectos también reflejados en el reglamento europeo, aunque a diferencia de éste, en la ley española sí se regula la protección de los datos de personas fallecidas.

Esta ley supone el resultado de una evolución en la protección de los datos de carácter personal, que ha ido cobrando cada vez más importancia, en un mundo que ha prosperado a pasos agigantados en avances tecnológicos, informática, redes sociales, soportes digitales, etc. De ahí que para los datos personales, que un principio no se era consciente de dónde se escribían o incluso a quién se mostraban, fuera una incipiente necesidad regular su protección y sembrar una concienciación en la humanidad en cuanto a su uso.

1.3.1.Objeto, ámbito de aplicación y entrada en vigor de la ley orgánica de protección de datos y garantía de los derechos digitales

La publicación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales fue muy esperada, hasta que fue publicada el 06 de diciembre de 2018, puesto que suponía la adaptación del ordenamiento jurídico español al Reglamento (UE) 2016/679. Hubo incertidumbre al respecto durante algún tiempo, puesto que existían 2 opciones: mantener la anterior LOPD 15/1999 vigente, en aquellos artículos que no contravinieran lo establecido en el reglamento general de protección de datos; o publicar una nueva ley que derogara la anterior en el territorio español, y supusiera la ansiada adaptación, optando por esta segunda opción. De esta forma, queda regulado el derecho fundamental de las personas físicas a la protección de datos de carácter personal y a la libre circulación de éstos, así como los derechos digitales, en la Constitución, en el Reglamento (UE) 2016/679 y en esta propia ley orgánica 03/2018 que así lo establece.

El ámbito de la Ley 3/2018 se aplica a cualquier tratamiento automatizado y no automatizado, que se encuentren o vayan a ser incluidos en un fichero. Destacar que se excluye expresamente de su alcance los artículos 95, 96 y 97, pertenecientes al Título X de garantía de derechos digitales y que serán estudiados más adelante. Respecto a la Ley 15/1999, queda derogada con su publicación, y así lo establece la propia Ley 3/2018, pero determinados artículos continuarían estando vigentes: los artículos 22, 23 y 24 de la Ley 15/1999, relacionados con los ficheros de las fuerzas y cuerpos de seguridad y la defensa nacional, y por los que se seguirán rigiendo estos aspectos mientras que no entre en vigor una norma que los contradiga o derogue.

Entró en vigor al día siguiente de su publicación en el Boletín Oficial del Estado (BOE), el 07 de diciembre de 2018. Por tanto, desde la entrada en vigor del Reglamento (UE) 2016/679 en mayo de 2016, permaneció vigente la Ley 15/1999 durante 2 años y medio, no sin ser eliminados de su articulado aquellos aspectos que contradecían al reglamento, como fueron los artículos 40,43,44, 45, 47,48 y 49, en relación a inspecciones, infracciones y sanciones, y que pasaron a estar regulados por el Real Decreto Ley 5/2018 ya citado anteriormente, hasta su derogación, el 07 de diciembre de 2018.

Se excluye de su aplicación:

1.Aquellas actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión.

2.Los tratamientos llevados a cabo por los órganos de la Administración General del Estado en el marco de las actividades comprendidas en el ámbito de aplicación de las Disposiciones específicas sobre política exterior y de seguridad común establecidas en el Capítulo II del Título V del Tratado de la Unión Europea.

3.Los tratamientos realizados por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.

4.Los tratamientos efectuados por parte de las autoridades competentes y sus agentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

5.Los sometidos a la normativa sobre protección de materias clasificadas.

6.Los referidos a personas fallecidas, exceptuando lo establecido en la propia ley orgánica de protección de datos personales.

Los casos que no se apliquen bajo el reglamento europeo, por implicar actividades no comprendidas en el Derecho de la Unión, se administrarán bajo legislación específica, como sucede con los tratamientos que abarca la legislación del régimen electoral general, instituciones penitenciarias, o los derivados del Registro Civil, Registro de la Propiedad o Mercantiles. Los tratamientos que procedan por los órganos judiciales en los procesos que le apliquen, se regirán sin embargo por lo dispuesto en el reglamento europeo y la vigente ley orgánica en protección de datos, sin perjuicio de lo dispuesto en la Ley Orgánica 6/1985 del Poder Judicial.

1.3.2.Estructura de la ley orgánica de protección de datos y garantía de los derechos digitales

La ley orgánica que rige la normativa en protección de datos en nuestro país se divide en diez títulos, el último de ellos incorporado tras su revisión como anteproyecto, y referente a la garantía de los derechos digitales.

El primer título abarca el objeto y el ámbito de aplicación, incluyendo los derechos digitales y los datos referidos a personas fallecidas. Excluye sin embargo, aquellos tratamientos de datos personales que dispongan de normativa específica.

En el Título II comprende los principios de protección de datos, con el deber de confidencialidad, la clasificación de datos especiales y el tratamiento de datos de naturaleza penal. Hay que hacer hincapié en las condiciones específicas que se determinan en este apartado en la obtención del consentimiento de los usuarios para el tratamiento de sus datos personales, sentando una de las diferencias más importantes con el anteriormente conocido como consentimiento tácito, en el que no era imprescindible, ni se exigía, una afirmación clara e inequívoca para obtenerlo. También se especifica aquí que solo será considerado como parte de un ejercicio de poderes públicos conferidos al responsable, o basado en el cumplimiento de una misión por el interés público cuando estén respaldados, en cualquiera de estos casos, por una competencia atribuida por ley.

Los derechos de los ciudadanos (de acceso, rectificación, supresión, oposición, derecho a la limitación y portabilidad), o el derecho a ser informados acerca del tratamiento al que se someterán sus datos personales, se contempla en el Título III.

Operaciones más concretas en las innumerables opciones que existen en el tratamiento de datos personales, se desarrollan en el siguiente título, como los efectuados en empresas, operaciones mercantiles, con fines de videovigilancia, o los relacionados con la función estadística o con fines de archivo de interés general.

Las figuras del responsable del tratamiento, del encargado del tratamiento, del delegado de protección de datos junto con el principio de responsabilidad activa, son recogidos en el Título V. El principio de responsabilidad activa exige realizar una valoración previa de los riesgos que pueden entrañar el futuro tratamiento de los datos personales que se pretenda realizar, para interponer de forma previa las medidas de protección necesarias que aseguren esos datos y su tratamiento. Y al igual que en el Reglamento (UE) 2016/679, también se le da en la ley orgánica una marcada importancia a la figura del delegado, especificando los casos que obligan su presencia, el proceso de certificación a los que deben someterse para poder ejercer como tales, y adquiriendo el compromiso de una relación pública y actualizada de estos delegados por parte de la Agencia Española de Protección de Datos.

En su Título VI trata sobre las transferencias internacionales de datos, y en el Título VII las autoridades de protección de datos, como es la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos. Los procedimientos en caso de posible vulneración de la normativa de protección de datos, y de cooperación entre autoridades, y el régimen sancionador son estipulados en los Títulos VIII y XIX respectivamente.

En último lugar, la regulación de los derechos y libertades en internet, se aborda en el Título X, destacando la garantía de libertad de expresión y el derecho a la aclaración de informaciones en medios de comunicación digitales.

Las disposiciones transitorias, finales y una disposición derogatoria, ocupan el último tramo de esta ley orgánica objeto de estudio en estos contenidos formativos.

1.3.3.Normativa sectorial afectada por la ley orgánica de protección de datos y garantía de los derechos digitales

Como se ha ido viendo a lo largo del tema, existen determinados sectores en los que el tratamiento de los datos personales puede estar regulado por una normativa específica. Dada la diversidad de esta normativa afectada con la publicación de la Ley Orgánica 03/2018, se detalla a continuación las que aparecen específicamente modificadas:

–Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General

–Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial

–Ley 14/1986, de 25 de abril, General de Sanidad

–Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.

–Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.

–Ley Orgánica 6/2001, de 21 de diciembre, de Universidades.

–Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

–Ley Orgánica 2/2006, de 3 de mayo, de Educación.

–Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

–Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

–Ley del Estatuto de los Trabajadores.

–Ley del Estatuto Básico del Empleado Público.

1.4.Definiciones

A continuación, se disponen algunas definiciones que te ayudarán a asimilar mejor los conceptos y las diferentes temáticas que estudiarán durante todo el aprendizaje. Se encuentran en el Reglamento (UE) 2016/679, en su artículo 4.

–«Datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

–«Tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

–«Limitación del tratamiento»: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro.

–«Elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.

–«Seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

–«Fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

–«Responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

–«Encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

–«Destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero.

–«Tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.

–«Consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

–«Violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

–«Datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

–«Datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

–«Datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.

–«Autoridad de control»: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51 del Reglamento (UE) 2016/679.

–«Tratamiento transfronterizo»: el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro; o bien el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro.

–«Objeción pertinente y motivada»: la objeción a una propuesta de decisión sobre la existencia o no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión.

–«Organización internacional»: una organización internacional y sus entes subordinados de derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.

–El objetivo del Reglamento (UE) 2016/679 es proteger los derechos de las personas en lo que se refiere sus datos personales y la libre circulación de éstos, concretamente un tratamiento automatizado y no automatizado, en todo el conjunto de la Unión.

–La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales es la aplicación en nuestro país del reglamento general de protección de datos europeo.

–La ley orgánica que rige la normativa en protección de datos en nuestro país se divide en diez títulos.

1.La raíz de donde emergen los derechos fundamentales de los ciudadanos en España es:

a.La Ley 3/2018.

b.El Reglamento General 4/2013.

c.La Constitución Española.

d.La Orden Ministerial 4/2011.

2.La temática de la protección de datos se introdujo en España con:

a.La Ley Orgánica 15/1999.

b.La Ley Orgánica 20/2018.

c.La Ley Orgánica 3/2011.

d.La Ley Orgánica 10/2000.

3.La Ley Orgánica 3/2018 tiene de fecha:

a.2 de diciembre.

b.3 de diciembre.

c.4 de diciembre.

d.5 de diciembre.

4.El ámbito de la Ley 3/2018 se aplica a:

a.Cualquier tratamiento automatizado y no automatizado, que se encuentren o vayan a ser incluidos en un fichero.

b.Solo los tratamientos automatizados que se encuentren en un fichero.

c.Solo los tratamientos no automatizados que se encuentren en un fichero.

d.Cualquier tratamiento que solamente vaya a ser incluido en un fichero.

5.Los principios de protección de datos de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales vienen recogidos en:

a.El título I.

b.El título II.

c.El título III.

d.El título IV.

6.El título VI trata sobre:

a.Los derechos de los ciudadanos.

b.Las autoridades de protección de datos.

c.Las transferencias internacionales de datos.

d.El régimen sancionador.

7.La regulación de los derechos y libertades en internet queda abordado en el título:

a.VIII.

b.IX.

c.X.

d.XI.

8.El marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro

a.Tratamiento.

b.Datos personales.

c.Limitación del tratamiento.

d.Elaboración de perfiles.

9.Todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados

a.Fichero.

b.Seudonimización.

c.Tratamiento.

d.Tercero.

10.Datos personales obtenidos a partir de un tratamiento técnico específico:

a.Datos genéticos.

b.Datos biométricos.

c.Datos relativos a la salud.

d.Datos del tratamiento.

2.1. Introducción

2.2. Principios de protección de datos

2.2.1. Exactitud de los datos

2.2.2. Deber de confidencialidad e integridad

2.2.3. Consentimiento del afectado

2.2.4. Categorías especiales de datos

2.2.5. Datos de naturaleza penal

2.2.6. Consentimiento de menores de edad

2.2.7. Tratamiento de datos amparado por la ley

2.2.8. El resto de principios de protección de datos

2.1.Introducción

A lo largo de la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales se hacen respetar unos principios de protección de los datos de carácter personal, referenciados en su Título II- Principios de Protección de Datos, y que se estudian en detalle en esta unidad.

Estos principios procuran la protección de los derechos y libertades de cualquier persona física, especialmente en lo que respecta a la información relativa a sus datos personales, por lo que su cumplimiento es obligatorio por parte de responsables y encargados de tratamiento*, y así lo establece tanto la Ley 3/2018 como el Reglamento (UE) 2016/679.

*La figura de responsable y encargado de tratamiento serán tratadas en próximas unidades, pero puedes acudir a su definición la Unidad 1.

2.2.Principios de protección de datos

2.2.1.Exactitud de los datos

En cuanto a la importancia que se le otorga a la exactitud de los datos personales, la LOPD – GDD vincula directamente a lo estipulado en el Reglamento (UE) 2016/679: deben ser exactos y actualizados.

Para conseguir este cometido, se exige la adopción de las medidas oportunamente razonables para corregir o anular datos personales que sean inexactos o, si fuera el caso, desactualizados, con respecto a los fines para los que se tratan, reduciendo así al máximo el riesgo de error.

Lo que sí se concreta en la ley orgánica, es que en el caso de unos datos inexactos para los fines que son tratados, no sería gravamen del responsable del tratamiento en los siguientes casos:

–Si los datos inexactos han sido proporcionados directamente por el afectado.

–Si los datos inexactos han sido obtenidos por el responsable a través de un mediador o intermediario, en los supuestos que esta transferencia esté permitida. En tal caso, la responsabilidad recaerá sobre el mediador o intermediario, dado que los datos se habrían presumido que eran exactos.

–Si los datos inexactos han sido recibidos de otro responsable, en el ejercicio del derecho de portabilidad (este derecho se estudiará más adelante)

–Cuando haya sido recopilados por el responsable desde un registro público.

Todos los supuestos son contemplados siempre que hayan sido tomadas las medidas necesarias por parte del responsable para que la corrección de los datos se haga lo antes posible.

2.2.2.Deber de confidencialidad e integridad

Nuevamente la Ley 3/2018 acude al reglamento europeo para definir este principio: la integridad y seguridad de los datos personales de los usuarios debe garantizarse, protegiéndolos contra un tratamiento no autorizado, su pérdida o su destrucción, y con la aplicando de las medidas que sean más apropiadas.

Este deber aplica a todas las personas que pueda formar parte del proceso del tratamiento de datos, que pueden ser empleados, responsables, jefes de equipo, socios, etc., es decir, cualquier persona que vaya a tratar datos personales de un usuario, desde su D.N.I o nombre y apellidos, hasta su grupo sanguíneo. Esta implicación se traduce en la comunicación y la aceptación por todos ellos del conocimiento y aceptación en el cumplimiento de este principio frente a los usuarios.

Ahora bien, también se añade que estas obligaciones deberán ser complementarias a los deberes de secreto profesional establecidos en cada normativa específica, y que se mantendrán una vez finalizada la relación objeto del tratamiento de esos datos personales.

2.2.3.Consentimiento del afectado

Recurriendo a la definición dada por el Reglamento (UE) 2016/679 en el artículo 4 del consentimiento del interesado, la LOPD – GDD especifica muy claramente en su artículo 6 que se entenderá por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca que suponga una declaración o una clara acción afirmativa para el tratamiento de los datos personales del interesado. Por lo tanto, esto implica que no es suficiente con una omisión o falta de negación ante el tratamiento de datos personales de un usuario; es necesario obtener su aceptación y poder demostrarlo posteriormente.

Así mismo, añade la necesidad de obtener ese consentimiento en cada una de las finalidades para las que se recojan los datos personales, en caso que se vayan a realizar distintos tratamientos para los mismos datos personales de un usuario. Se contempla así el principio de limitación de la finalidad exigido en el reglamento europeo, ya que es de obligado cumplimiento recabar el consentimiento con fines determinados, explícitos y legítimos.

Por ejemplo, para obtener el consentimiento en el tratamiento de datos de un cliente en la empresa Maderas Roble, S.L. para facturación y también para publicitarlo como cliente en la página web, un método para que aparezcan diferenciados ambos tratamientos al recopilar su consentimiento puede ser el siguiente:

Sí, acepto y expreso mi consentimiento inequívoco para el tratamiento de mis datos personales en Maderas Robles, S.L. para los siguientes fines:

–Facturación

–Publicación en página web como cliente

2.2.4.Categorías especiales de datos

Puesto que la LOPD 3/2018 alude al Reglamento (UE) 2016/679 en la regulación del tratamiento de estos datos especiales en el su artículo 9, es conveniente empezar por el estudio de esta reglamentación europea.

Al abordar el tratamiento de datos categorizados como especiales, en primer lugar es necesario identificarlos como aquellos que revelen ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico, datos genéticos, datos biométricos y datos relativos a la salud.

El tratamiento de categorías especiales de datos personales queda prohibido por el también artículo 9 del reglamento general de protección de datos, si bien es cierto, que añade una serie de excepciones a esta prohibición:

a.El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales,

b.El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social,

c.El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física,

d.El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados,

e.El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos

f.El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial,

g.El tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros,

h.El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, siempre y cuando el tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional,

Comentarios para PROTECCIÓN DE DATOS Y GARANTÍA DE LOS DERECHOS DIGITALES

[DouglasRicalde · Calificación: 5 de 5 estrellas]

Estando en un un momento donde la pandemia no a hecho entran al mundo digital, es momento de llenar el mercado del derecho digital. Gracias por este tremendo libro.