1 of 33

Dcho. a la protección de datos personales: evolución y contexto

2 of 33

RGPD

3 of 33

Evolución y reconocimiento del derecho fundamental a la protección de datos en España. Normativa interna de protección de datos

  • Desarrollo inicial por la Ley Orgánica5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD)
  • Creación de la agencia española de protección de datos mediante la LORTAD

Art. 18.4 C.E.

La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

4 of 33

Ámbito de aplicación del RGPD

* Algunos criterios para definir/identificar datos personales

1) Ámbito de aplicación material

A) Datos personales

B) Datos de categorías especiales

C) Tratamiento de datos

* Definición

* Algunos datos personales en particular: Huella de dispositivo; localización; biométricos; identificadores únicos en línea; datos objetivos y subjetivos; datos seudonimizados…

* Definición

* La cesión de datos personales

* Exclusión de datos anónimos

3) Exclusiones. En particular, la excepción doméstica

2) Ámbito de aplicación territorial

D) Fichero

* Definición

* Criterios

5 of 33

* Definición: «Datos personales»: toda información sobre una persona física identificada o identificable («el interesado»)

Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

A) Datos personales

6 of 33

  • * Algunos datos personales en particular: La voz como dato personal
  • (¿para quién debe ser identificable el dato?)

https://youtu.be/2CpLFriLMas

STS 815/2020, 18 de Junio de 2020 (Caso Juasapp)

7 of 33

B) Datos personales especialmente protegidos (actuales <datos de categorías especiales>)

8 of 33

Datos biométricos

¿Dato personal?

¿Dato de categoría especial?

Dictamen 3/2012 sobre la evolución de las tecnologías biométricas (WP29)

9 of 33

C) Tratamiento de datos

* Definición: “Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”

Tratamiento de datos personales

Automatizado:

  • Perfilado automatizado; videovigilancia…

No automatizado:

  • Cumplimentar manualmente formulario; incluir datos manualmente en historia clínica…

10 of 33

D) Fichero

*Definición (amplia): “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica” (art. 4.6 RGPD)

Considerando 15 “…Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento

* Criterios generales

🡪 Pueden ser datos tratados de manera automatizada o manual

🡪 No obstante, el RGPD sólo se aplica a los tratamientos manuales cuando los datos tratados estén incluidos o destinados a ser incluidos en un fichero.

(Los datos organizados [estructuración] pueden ser consultados y utilizados [accesibilidad] pudiendo derivar en afectación del derecho a la protección de datos de personas físicas)

  • Estructuración (organización)
  • Accesibilidad (fácil sin esfuerzo o esfuerzos desproporcionados)

criterios «relativos a las personas»

finalidad es permitir que los datos relativos a una persona puedan recuperarse fácilmente o sin esfuerzo excesivo

11 of 33

STJUE, C-25/17, de 1 de febrero de 2018

(Asunto Jehovan todistajat – Testigos de Jehová)

- El 17 de septiembre de 2013, la Comisión de protección de datos adoptó, a instancias del Supervisor de protección de datos, una resolución mediante la cual se prohibía a la comunidad de los Testigos de Jehová recoger o tratar datos personales en relación con la actividad de predicación puerta a puerta llevada a cabo por sus miembros sin que concurrieran los requisitos legales para el tratamiento de tales datos…

- Según ha constatado el órgano jurisdiccional remitente, los miembros de la comunidad de los Testigos de Jehová realizan, en el ámbito de su actividad de predicación puerta a puerta, anotaciones sobre las visitas efectuadas a personas que ni ellos mismos ni la comunidad conocían previamente. Los datos recogidos pueden consistir, entre otros, en el nombre y la dirección de las personas contactadas, así como en información sobre sus convicciones religiosas y su situación familiar. Estos datos se recogen a modo de recordatorio y con el fin de poderse recuperar para una eventual visita posterior, sin que los interesados hayan dado su consentimiento ni hayan sido informados.

12 of 33

* Tratamientos excluidos. En particular, la excepción doméstica

Considerando 18. El presente Reglamento no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial.

  • Interpretación restrictiva (STJUE, asunto Ryneš, apdo. 29-30.
  • Ejemplos: la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades.
  • No se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas.

13 of 33

Casos

* Tratamientos excluidos. En particular, la excepción doméstica

Videovigilancia vivienda que alcanza (parcialmente) calle:

Excepción doméstica

14 of 33

PRINCIPIOS EN MATERIA DE PROTECCIÓN DE DATOS

15 of 33

AEPD

“El RGPD consagra en su artículo 5 los principios básicos que han de tenerse en cuenta a la hora de realizar los tratamientos, de modo que estos seis principios (licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad) unidos al de responsabilidad proactiva (o accountability) se convierten en el núcleo de la norma y en el objetivo que todo sistema, aplicación, servicio o proceso debe garantizar en su diseño [principio de privacidad desde el diseño], además de los requisitos o requerimientos funcionales a satisfacer propios del sistema”.

PRINCIPIO (O ENFOQUE) DE RESPONSABILIDAD PROACTIVA

(‘accountability’)

Art. 5.2

El responsable del tratamiento será responsable del cumplimiento de los principios de tratamiento y ha de ser capaz de demostrarlo («responsabilidad proactiva»)

16 of 33

Principios en materia de protección de datos

Licitud del tratamiento

Lealtad

tratamiento

Art. 5.1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)

17 of 33

Caso de tratamiento vulnerando pcpio. de licitud

(AEPD, Procedimiento Nº: PS/00459/2020)

Mensaje de 03/06/2020 enviado por “Mercatron” a la reclamante acerca de la devolución:

“Sr. Cliente, le aconsejo que devuelva el equipo, para que nuestra relación comercial quede anulada, un voto negativo por un caso como el suyo, solo demuestra…

Además, no creo que a usted le guste que todos los vendedores, vean todos sus datos en la contestación al comentario, pero si le da igual, ya no volveremos a escribirle. Usted es el que se la juega…”.

18 of 33

19 of 33

Interpretación del principio de transparencia por el regulador:

<CV recibido sin cumplir con el principio de transparencia>

20 of 33

Principios en materia de protección de datos

Limitación en la finalidad

Limitación en el

plazo de

conservación

Minimización de datos

Exactitud

Integridad y

seguridad

21 of 33

Algunos ejemplos:

<Uso de datos consentidos con fines profesionales para fines personales>

22 of 33

Ejemplos de tratamientos excesivos:

<Voz sin distorsionar exponiendo a víctima>

23 of 33

- Con fecha 10/02/2020 tuvo entrada, procedente de la AGENCIA CATALANA DE PROTECCION DE DATOS, reclamación de A.A.A. (en adelante, la reclamante) contra TNT EXPRESS WORLDWIDE SPAIN, S.L. con CIF…(en adelante, la reclamada).

  • Los motivos en que basa la reclamación son que el día 7/01/2020 “accedo a la web ***URL.1 para contratar un servicio de mensajería particular. La reserva del servicio se hace desde mi email particular (***EMAIL.1) y el pago se efectúa con una tarjeta VISA particular. La dirección de recogida (únicamente especificada como dirección de recogida) es la de la empresa SATI ENVIROTECH SL, en la cual trabajo. La empresa presta el servicio de forma correcta. El problema viene a la semana, cuando en el departamento de contabilidad de mi empresa reciben una factura de TNT a nombre de SATI ENVIROTECH SL, con todos los datos personales del envío: mi dirección de email personal y el nombre, dirección y datos de contacto del destinatario (como información de entrega).

  • La empresa TNT ha asociado por voluntad propia un pedido particular a una cuenta cliente de empresa, cuando el servicio ha sido contratado a nivel particular y sólo se ha dado la dirección de la empresa como punto de recogida, y ahora, mi empresa tiene dos facturas (la inicial errónea y la rectificativa de abono) con datos personales míos y del destinatario y que fueron facilitados en exclusiva a la empresa de transportes TNT…”

Ejemplo de tratamientos datos inexactos:

<Envío de factura con datos personales a destinatario equivocado>

24 of 33

Procedimiento Nº: PS/00362/2021

A.A.A. (en adelante, el reclamante) con fecha 25 de marzo de 2020 interpuso reclamación ante la Agencia Española de Protección de Datos.

La reclamación se dirige contra el BANCO BILBAO VIZCAYA ARGENTARIA, S.A. con NIF…(en adelante, el reclamado).

Los motivos en que basa la reclamación son que el reclamado facilita el detalle de los últimos movimientos de la tarjeta Affinity Card mediante un sistema de atención telefónica automatizado en el teléfono ***TELÉFONO.1 en el que únicamente se pide como dato identificativo el DNI del cliente.

Se manifiesta por el reclamante que la entidad reclamada no adopta ninguna otra medida de seguridad para confirmar la identidad del cliente por lo que cualquier persona puede llamar, dar un número de DNI y obtener información asociada a ese DNI, sin comprobar que la persona que llama sea el titular de dicho documento identificativo.

25 of 33

BASES DE LEGITIMACIÓN DEL TRATAMIENTO

(INTRODUCCIÓN)

26 of 33

BASES DE LEGITIMACIÓN (art. 6 RGPD)

Idea clave: Cualquier tratamiento de datos personales debe apoyarse en una base que lo legitime

Tenemos que preguntarnos:

¿contamos con una base de legitimación?

Continuamos con el tratamiento (si se cumplen los demás requisitos)

Suspender el tratamiento

(riesgo de sanción)

si

No

27 of 33

BASES DE LEGITIMACIÓN

Relación

contractual

Consentimiento

Obligación

legal

Interés público o ejercicio de poderes públicos

Interés vital

del interesado

Interés legítimo

prevalente

del responsable

A día de hoy, aún se discute sobre la prevalencia de las bases de legitimación:

  • El RGPD no recoge ninguna jerarquía;
  • la jurisprudencia parece inclinarse porque no existe;
  • El EDPB se ha pronunciado señalando que no hay preferencia entre ellas.

🡪  base de legitimación no sea adecuada para tratamientos concretos

28 of 33

Consentimiento presunto vs. acción afirmativa

Procedimiento Nº: PS/00172/2020

29 of 33

Consentimiento activo afirmativo vs. casillas premarcadas

TJUE (de gran sala) de 1 de octubre de 2019, Asunto C‑673/17 (caso Planet49)

El 24 de septiembre de 2013, Planet49 organizó un juego con fines promocionales en el sitio de Internet www.dein-macbook.de.

Los internautas que deseaban participar en el juego debían introducir su código postal, tras lo cual accedían a una página web en la que debían introducir su nombre y dirección. Debajo de los campos reservados para facilitar la dirección figuraban dos menciones acompañadas de casillas.

30 of 33

Participantes en el ciclo de vida de los datos:

Interesados

Encargados

del tratamiento

Responsables

del tratamiento

31 of 33

Derechos de los interesados

32 of 33

Portabilidad

Derechos de los interesados

Rectificación

Acceso

Oposición

Limitación

del

tratamiento

Supresión

(y olvido)

Ejercicio:

- Directo (o representante)

- Sencillo y fácil

- Gratuito (si la petición es razonable, fundada, no repetitiva)

Información

significativa

sobre la lógica

aplicada

Derecho

a la intervención

humana

33 of 33

III. ASUNTO C-131/12 (Derecho al olvido)

CUESTIÓN PREJUDICIAL

¿El interesado puede exigir al gestor de un motor de búsqueda eliminar de la lista de resultados obtenida como consecuencia de una búsqueda efectuada a partir de su nombre vínculos a páginas web, publicadas legalmente por terceros y que contienen datos e información verídicos relativos a su persona, debido a que estos datos e información pueden perjudicarle o que desee que estos datos e información se olviden tras un determinado lapso de tiempo?