Reglamento de Protección de Datos (RGPD)

Conceptos clave en la protección de datos

Queremos con el boletín de esta semana repasar los conceptos clave que tratamos diariamente en relación a la protección de datos, como por ejemplo datos biométricos, deber de informar, evaluación de impacto, entre otros. Para ello usaremos de guía las definiciones del articulo 4 del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), además de otros artículos de la normativa citada. 

El RGPD recoge como objeto la protección al tratamiento de datos personales de personas físicas, pero ¿qué es un dato personal? Un dato personal es toda información sobre una PERSONA FÍSICA, identificada o identificable. Será persona física identificable toda aquella que, a través de un identificador, un número de identificación, datos de localización o elementos de la identificad física, fisiológica, genética, psíquica, económica, cultural o social puedas saber su identidad. Hay una manera de que los datos de una persona no puedan atribuirse al interesado, puesto que está separada la información adicional, dicho procedimiento es la seudonimización. Este procedimiento es útil, por ejemplo, para poder, ante una inspección tributaria a un centro médico, presentar los datos necesarios y que el centro médico no tenga que presentar la información relativa al historial clínico del paciente. 

Por dato personal hemos dicho que puede ser, entre otros, la información genética o psíquica, que pueda revelar la identidad del interesado. Por dato genético entendemos toda aquella característica genética heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona; dato biométrico es obtenido por un tratamiento técnico específico, como por ejemplo reconocimiento facial; y dato de salud es aquel relativo a la salud física o mental. 

El conjunto de los datos personales nos lleva a su tratamiento, que es toda operación o conjunto de ellas para tratar datos desde cualquier procedimiento de manera automatizada o no, como por ejemplo la recogida, el registro, una consulta o la organización de estos. El tratamiento de datos se puede llevar a cabo a través de una organización o criterio determinado, dicho conjunto estructurado de datos personales constituye un fichero

El tratamiento de datos conlleva consigo que éstos sean conservados, pero debe ser una conservación con marcado de datos para limitar su tratamiento en un futuro; y el tratamiento también nos permite evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos, como por ejemplo relativos al rendimiento profesional o situación económica o de salud, denominado como elaboración de perfiles. Un departamento de RRHH que realice test psicotécnicos o evaluaciones del personal realizará esta elaboración de perfiles.

Las figuras que están en contacto con los datos reciben el nombre según su papel: el responsable del tratamiento es el que determina los fines y medios del tratamiento; el encargado del tratamiento es el que trata datos por cuenta del responsable; el destinatario es al que se le comunican datos; y el tercero es el que no es ni el interesado, ni el responsable, ni el encargado, ni las personas autorizadas por encargado o responsable, para tratar los datos personales.

La figura del DPD (Delegado de Protección de Datos) está recogida por la normativa de protección de datos y establece los casos en los que esta figura es necesaria, y es la figura garante del cumplimiento de la normativa de protección de datos en las organizaciones.

El tratamiento de datos conlleva el deber de información al interesado en el momento en el que se soliciten los datos, y la obligación recae en el responsable del tratamiento. Las autoridades de protección de datos recomiendan un modelo de información por capas para presentar una información básica en un primer nivel, es decir, de forma resumida, y remitir a través de ésta a la información adicional, que es el segundo nivel donde ya se aporta más detalle. 

El RGPD recoge el principio de accountability o responsabilidad proactiva, que implica que el responsable deba aplicar unas medidas técnicas y organizativas adecuadas para mostrar el cumplimiento de la normativa sobre protección de datos. Las medias deben ser adecuadas según el riesgo que implique el tratamiento de datos que realice.  La gestión de riesgos es el conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la identificación y evaluación del riesgo, así como las medidas para su reducción o mitigación. El riesgo existe cuando estamos expuestos a amenazas. Las amenazas son cualquier factor de riesgos potencial que pueda provocar un daño sobre los datos de carácter personal de los interesados de los que se realiza un tratamiento. 

Para poder identificar los riesgos en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento deberá llevar a cabo una evaluación de impacto para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. 

Estos son algunos de los términos utilizados en el ámbito de la protección de datos que a menudo inducen a confusión y hemos creído interesante hacer una relación de estas definiciones. 
Hay otros conceptos, como el de transferencias internacionales que suponen un flujo de datos personales desde territorio español a destinatarios fuera del Espacio Económico Europeo. Para identificar cuando puedo realizar una transferencia internacional, hay que mirar si es a un país declarado por la Comisión Europea de nivel adecuado, o si hay garantías, o si se cumple alguna de las excepciones que permiten las trasferencias internacionales, siempre que se den de forma segura y con las medidas adecuadas. La próxima semana ahondaremos en este concepto para identificar cuando los países son de nivel adecuado, las garantías y las excepciones, además de los casos con autorización expresa por parte de la AEPD