guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Tratamiento automatizado de datos

Tratamiento automatizado de datos

Los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base de legitimación establecida conforme a Derecho, sin olvidar la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento, o la necesidad de ejecutar un contrato en el que sea parte el interesado, o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.

Proteccion de Datos Personales
Protección de datos

¿Qué régimen jurídico se aplica al tratamiento de datos personales?

Los "datos de carácter personal" y su protección jurídica conforman uno de los aspectos más novedosos y llamativos de entre todos aquellos que son objeto de atención por el Derecho de hoy. La posesión y tratamiento de esos datos por particulares -o sobre todo por las empresas- y la construcción y el mantenimiento de archivos en los que tales datos se contengan (en especial cuando esos archivos son informáticos) tienen una capacidad de afectación de la privacidad de las personas muy superior a la que en el pasado podíamos haber llegado a imaginar.

Acabamos de hacer una referencia de pasada a los archivos informáticos. Y lo hemos hecho porque es evidente que los archivos contenedores de datos de carácter personal pueden servirse de esas tecnologías ganando en eficacia de manera exponencial. No son la única clase de archivos existentes pues naturalmente los datos pueden integrarse, estructuradamente o no, en archivos físicos. Pero a esos de naturaleza informática es a los que nos estamos refiriendo cuando hablamos de tratamiento "automatizado" de datos.

Esa realidad, el carácter automatizado de los archivos y el empleo de medios informáticos fue en un principio estimado tan singular, tan relevante, como para articular en torno a ella todo el sistema jurídico de protección de la privacidad de las personas desde el punto de vista de sus datos personales. Eso dio lugar a que la primera ley promulgada en este ámbito, la Ley Orgánica 5/1992, de 29 de octubre, de regulación del Tratamiento Automatizado de los Datos de Carácter Personal, se ocupase de manera destacada de esa variable informática de los archivos.

Sin embargo, según ha quedado destacado, los archivos informáticos no son los únicos capaces de afectar la privacidad de las personas y acaso su intimidad como derecho constitucional autónomo. Por ello dicha Ley Orgánica 5/1992 fue derogada y sustituida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal que contenía una regulación más amplia y protectora que su antecesora. A su vez, la Ley Orgánica 15/1999 fue derogada por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), cuyo objeto es, en particular, adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 (en adelante, RGPD) y lograr así una regulación más uniforme del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más globalizada, como se indica en el Preámbulo de la LOPDGDD.

¿Qué se entiende por tratamiento automatizado?

El artículo 4.2 del Reglamento General de Protección de Datos define el tratamiento como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Se trata de una definición muy amplia, de manera que casi cualquier operación que se haga con datos personales será considerada como tratamiento. Y puede ser un tratamiento total o parcialmente automatizado de datos personales. El hecho de que sea un concepto amplio se debe a la intención del legislador de establecer un alcance lo más amplio posible para proteger a la persona física cuyos datos personales son objeto de tratamiento.

El tratamiento automatizado lo llevará a cabo el responsable y, en su caso, el encargado del tratamiento. Por tanto, siempre que, por una parte, estemos ante datos personales y, por otra parte, estos sean objeto de tratamiento automatizado, será aplicable la normativa en materia de protección de datos personales.

¿Qué implica la Licitud del Tratamiento?

A la licitud del tratamiento está dedicado el art. 6 RGPD. Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, sin olvidar la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento, o la necesidad de ejecutar un contrato en el que sea parte el interesado, o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato. Se detallan las condiciones para cumplir de manera efectiva con la licitud:

  • Si el interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos se entiende que dicho consentimiento es interpretado como un tratamiento lícito.
  • Si para la ejecución de un contrato en el que el interesado es parte, es necesario el tratamiento o también para medidas de naturaleza precontractual dotaría de licitud al tratamiento.
  • Si el tratamiento viene justificado a consecuencia de lo establecido en una norma con rango de ley, el consentimiento como ya establece la LOPD no se precisará sin que se vea afectada la licitud del tratamiento, al venir impuesto por la propia norma.
  • Si hay una necesidad de proteger intereses vitales del interesado o de otra persona física, también estaría justificada la licitud del tratamiento, pues aunque no medie el consentimiento, el choque de derechos fundamentales que determina la protección de datos, frente a otros valores fundamentales, no tenga el carácter de prevalente.
  • Si el tratamiento es necesario para el cumplimiento de la misión realizada en interés público, o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, aunque se precisará una norma habilitante que confiera tanto al interés público de dicha misión, como el ejercicio del poder público de tal función.
  • Si el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento, o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Recordemos que el interés legítimo es un concepto jurídico indeterminado que será determinado en función de las circunstancias concurrentes tanto del responsable del tratamiento como de los interesados de los titulares de los datos.

La LOPDGDD, siguiendo al RGPD, establece la base jurídica que determinará la finalidad del tratamiento en determinados casos y, por otra parte, incluye disposiciones específicas para adaptar la aplicación de normas de acuerdo a lo previsto en el RGPD. En concreto, se prevén las siguientes disposiciones específicas:

  • Condiciones generales que rigen la licitud del tratamiento por parte del responsable, en casos concretos tales como el tratamiento de datos de contacto de empresarios individuales y de profesionales liberales; sistemas de información crediticia; videovigilancia o sistemas de exclusión publicitaria.
  • Tipos de datos objeto del tratamiento, como ocurre con los datos relativos a la comisión de infracciones administrativas.
  • Interesados afectados, ya que especifica que los catorce años es la edad a partir de la que un menor puede prestar su consentimiento.
  • Entidades a las que se pueden comunicar datos personales y fines de tal comunicación, como ocurre en el caso de la posibilidad de que los responsables del tratamiento enumerados en el artículo 77.1 LOPDGDD puedan comunicar datos personales a sujetos de derecho privado, a solicitud de estos últimos.
  • Limitación de la finalidad como, por ejemplo, en el caos del tratamiento de datos en la investigación en la salud.
  • Operaciones y procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento.

¿Qué es la seudonimización?

La seudonimización consiste en generalizar a un grupo de individuos no permitiendo su identificación de manera directa. Este tipo de técnica es especialmente útil a la hora de llevar a cabo investigaciones científicas o estadísticas sin poner en riesgo o utilizar datos innecesarios para dicha finalidad como serían los personales. Los datos de carácter personal desvinculados de la persona no la harían identificable.

La principal garantía de esta técnica consiste en establecer la máxima seguridad para evitar o dificultar la reidentificación, siendo esta lo más costosa posible. La seudonimización es por lo tanto un procedimiento reversible. No debemos olvidar que un dato seudonimizado sigue teniendo el carácter de dato personal. Es importante destacar la diferencia que existe con la anonimización, procedimiento por el cual la reidentificación se vuelve imposible, sus elementos de identificación ya no están disponibles y por tanto dejan de ser considerados datos personales.

Estos conceptos de seudo y anonimización residen en la ciencia de la criptografía, ciencia que estudia cómo tratar un mensaje para que solo pueda ser descifrado por personas autorizadas. Esta palabra proviene del griego krypto (oculto) y graphos (escribir). Sin entrar en detalles técnicos, diremos que esta ciencia se basa en algoritmos matemáticos, un conjunto ordenado y finito de operaciones que permite hallar la solución de un problema. Esta técnica nació hace unos 4000 años en el antiguo Egipto y su finalidad es asegurar la integridad de un fichero, la autenticidad del mismo y su confidencialidad. Un ejemplo simple de funcionamiento de cifrado consistiría en modificar las letras del abecedario por la siguiente en el mismo, la "a" es "b" y "b" es "c". Mediante esta técnica, la forma del mensaje cifrado "Dato" sería "Ebup". Las técnicas actuales de cifrado son mucho más robustas y pueden perseguir los dos objetivos descritos, tanto la anonimización como la seudonimización.

Algunas de estas técnicas de cifrado, fueron expuestas por el Grupo de Trabajo del Artículo 29 en su Dictamen 05/2014 sobre técnicas de anonimización. Entre ellas, podríamos destacar el cifrado con clave secreta, determinista o la función hash.

En diciembre de 2016, se emitió una opinión de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior sobre la Iniciativa Europea de Computación en la Nube en la que solicita a la Comisión Europea orientaciones en cuanto a procesos de anonimización para garantizar el desarrollo de la Nube Europea de la Ciencia Abierta, en aras de promover el intercambio de datos entre científicos europeos respetando los principios de la protección de datos.

Por último, cabe señalar que la Agencia Española de Protección de Datos publicó también, en 2016, unas Orientaciones y garantías en los procedimientos de anonimización de datos personales en las que concluye que los procesos de anonimización y seudonimización son una herramienta válida para garantizar la privacidad de los datos personales y sus limitaciones son inherentes al avance de la tecnología.

Recuerde que...

  • El tratamiento de datos consiste en cualquier operación realizada sobre los datos personales por procedimientos automatizados o no.
  • El tratamiento automatizado lo llevará a cabo el responsable y, en su caso, el encargado del tratamiento.
  • Para que el tratamiento sea lícito, debe contarse con el consentimiento expreso del interesado o hacerlo sobre alguna otra base legítima conforme a Derecho.
  • La seudonimización es la generalización a un grupo de individuos, no permitiendo su identificación de manera directa.
Subir