Trabajo de investigación: analizar la nueva normativa europea de protección de datos para garantizar su cumplimiento respecto de la información recolectada.

I. INTRODUCCIÓN

El proyecto SECURHOME pretende desarrollar y validar un dispositivo que pueda detectar, mediante técnicas de inteligencia artificial (IA), si una persona se encuentra en riesgo o no a través de su actividad diaria en el hogar. Para ello, se deberá analizar su comportamiento diario a través del estudio de su movimiento, sonido, temperatura, uso de determinados electrodomésticos, etc. El dispositivo mediante esas técnicas de inteligencia artificial aprenderá las conductas del usuario y las posibles variaciones que se puedan presentar. De este modo se adaptará a su estilo de vida y será posible prevenir cualquier eventualidad. Si el dispositivo detectase alguna contingencia, enviará alertas a familiares previamente configurados y al centro de atención sanitaria más cercano. De esta forma se logrará un ágil y estratégico método de atención para el usuario, evitando así el tener que recurrir a algún tipo de comunicación directa para su alerta. Para conseguir estos fines es imprescindible recoger y tratar gran cantidad de datos de carácter personal y determinar patrones de comportamiento en el hogar de esa persona. Por lo tanto, el proyecto plantea retos muy importantes en el ámbito del Derecho, en especial, para la privacidad.

Desde un punto de vista jurídico, nos encontramos ante un tratamiento de datos personales y ello supone que ha de aplicarse la normativa que regula esta materia tan específica. Desde el 25 de mayo de 2018 es de aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD). Este Reglamento Europeo supone cambios muy importantes en relación con los tratamientos de datos personales y también nuevas responsabilidades y obligaciones para quienes recojan y utilicen esos datos personales: los responsables y los encargados del tratamiento. Además, desde el día 7 de diciembre de 2018 está en vigor en España la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que viene a adaptar y completar el ordenamiento jurídico español al RGPD. Por otra parte, es necesario asimismo enfocar todas estas cuestiones teniendo en cuenta que están implicados varios derechos fundamentales, particularmente el derecho a la protección de datos personales recogido en el artículo 18.4 de la Constitución española, en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea y en el artículo 8 del Convenio Europeo para la protección de los derechos humanos de 1950.

Para desarrollar el Dispositivo SECURHOME es necesario recoger datos personales, es decir, informaciones sobre una persona física identificada o identificable que servirán para estudiar las conductas de los usuarios del dispositivo y de esta forma poder detectar alteraciones en esas conductas para prevenir y reaccionar ante cualquier eventualidad. Esta recogida y análisis de la información personal constituye un tratamiento de datos personales según la definición del artículo 4 del RGPD y nuestro trabajo de investigación se centrará en identificar los requisitos legales aplicables a dicho tratamiento de datos. Esta labor, entre otras cuestiones, exigirá determinar la naturaleza y categoría de los datos personales recabados, la finalidad o finalidades compatibles de uso de esos datos, las condiciones para el consentimiento de las personas titulares de los datos personales y las medidas de seguridad aplicables. Este último aspecto, el de la seguridad, resulta de vital importancia en el ámbito del Internet de las cosas, en el que la evaluación de los riesgos inherentes al tratamiento de datos personales se presenta como un requisito previo imprescindible.

Cuando hablamos de Internet de las cosas (IoT) hacemos referencia a aquellas infraestructuras que, a través de sensores incorporados a determinados dispositivos cotidianos recaban, almacenan, someten a tratamiento y transfieren datos personales. Estos sistemas se encuentran asociados a identificadores únicos lo que permite que interactúen con otros sensores y dispositivos a través de sus capacidades de conexión en red. Nos encontramos en el ámbito de la denominada informática «ubicua» que, como ha señalado el Grupo de Trabajo sobre Protección de Datos de la Unión Europea (Dictamen 8/2014 sobre la evolución reciente de Internet de los objetos) se basan “en el principio del tratamiento amplio de los datos mediante estos sensores diseñados para comunicar datos de manera inadvertida e intercambiarlos de manera fluida”. El dispositivo que se pretende desarrollar a través del proyecto SECURHOME estaría orientado, no exclusivamente, pero sí fundamentalmente a lo que se denomina «Yo cuantificado», es decir, dispositivos diseñados para registrar y analizar información sobre hábitos y estilos de vida. La IoT plantea diversos retos importantes en relación con los datos personales por lo que resulta de gran importancia de la aplicación del marco jurídico de protección de los datos de la UE, especialmente tras la entrada en vigor del RGPD y de la nueva Ley española.A través de nuestra investigación pretendemos analizar la aplicación de la legislación de datos personales a un dispositivo de Internet de las Cosas en la vida real, para tratar de determinar cuáles van a ser los mayores desafíos en su aplicación y, al mismo tiempo proporcionar, un ejemplo real sobre como RGPD puede mejorar la protección de la privacidad a través de los dispositivos IoT.

II. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS PERSONALES

La recopilación y el análisis de los datos personales, así como los usos posibles de los mismos o del resultado del tratamiento al que sean sometidos tiene una incidencia directa, no sólo en el efectivo disfrute de los derechos fundamentales, sino también en la dignidad y autonomía de las personas. La idea de dignidad, que se encuentra en el fundamento de los derechos humanos, es un concepto complejo que ha ido evolucionando con el paso del tiempo. La idea de dignidad humana se ha ido completando desde la noción negativa del derecho a no sufrir vejaciones, con elementos positivos como las nociones de autodisponibilidad humana y autodeterminación, que se concretan en la afirmación positiva del pleno desarrollo de la personalidad¹. El desarrollo de las tecnologías de la información y de la comunicación ha supuesto nuevos riesgos para los derechos y las libertades de las personas, su autonomía y dignidad. Durante las últimas décadas se ha ido haciendo patente que una de las mayores amenazas a la dignidad, a la libertad y a los derechos de los ciudadanos provenía de la capacidad de acumular informaciones personales. La interrelación de las informaciones personales permitirá la obtención del perfil de cualquiera y servirá para que se adopten decisiones que le afecten sin que las personas “sean tenidas en cuenta ni consultadas”².El tratamiento de los datos personales “hace posible una vigilancia de hecho de la vida cotidiana del individuo”³ , al permitir el registro de una serie de datos que separadamente carecen de importancia, pero que adecuadamente relacionados permiten obtener el perfil de una persona. Además, el procesamiento de la información sobre personas posibilita su clasificación social y la adopción de determinadas decisiones que le afectan. De este modo nos encontramos con que “nuestra vida individual y social corren (...) el riesgo de hallarse sometidas a lo que Frosini ha calificado, con razón, de «juicio universal permanente»”⁴.

La preocupación por la recolección de datos personales y sobre la pérdida de su control aparece al mismo tiempo en que el desarrollo tecnológico permitió la automatización del tratamiento de los datos personales. Por su propia concepción, el desarrollo tecnológico producido desde la segunda mitad del siglo XX hizo insuficiente el derecho a la intimidad para dar respuesta a las amenazas y peligros específicos que para la dignidad de las personas, su libertad, el derecho a no ser discriminados o el ejercicio de los demás derechos fundamentales, encierran las posibilidades de tratamiento automatizado de las información personal y por ello, a partir de los años setenta, comienza la construcción de un nuevo derecho fundamental. El derecho fundamental a la protección de datos personales se encuentra recogido en el artículo 18.4 de la Constitución que establece que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Correspondió al Tribunal Constitucional su interpretación para ir perfilando el concepto y los principios y derechos que formarían parte del contenido esencial e irrenunciable del derecho a la protección de datos personales.

Para nuestro Tribunal Constitucional, el artículo 18.4 de la Constitución consagra un derecho fundamental autónomo y diferente del derecho a la intimidad, “una nueva garantía constitucional, como forma de respuesta a una nueva forma de amenaza concreta a la dignidad y a los derechos de las personas (...) un instituto que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama «la informática»”⁵.Posteriormente, en la sentencia 292/2000, de 30 de noviembre, estableció que, a diferencia del derecho a la intimidad, que tiene como función proteger frente a cualquier invasión que pueda realizarse en el ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno, “el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado”. El objeto de protección del derecho a la protección de datos personales no se reducirá exclusivamente a la protección de los datos íntimos de la persona, “sino a cualquier tipo de dato personal, sea íntimo o no, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el art. 18.1 CE otorga, sino los datos de carácter personal”. Los datos amparados son todos aquellos que identifiquen o permitan la identificación de una persona, es decir, que se puedan poner en relación con un individuo concreto, ya sea de forma directa o indirecta; pues cualquiera de estos datos puede “servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier índole, o (...) para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo”.

El derecho a la protección de datos personales se encuentra garantizado, asimismo, en el ámbito del Consejo de Europa, por el artículo 8 del Convenio de Roma de 4 de noviembre de 1950, para la Protección de los Derechos Humanos y de las Libertades Fundamentales consagra el derecho al respeto a la vida privada y familiar. Este precepto, se completa con la regulación del Convenio 108 del Consejo de Europa, de 28 de enero de 1981, para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal.En su interpretación y aplicación ha sido fundamental el papel del Tribunal Europeo de Derechos Humanos (TEDH).

Asimismo ha de tenerse en cuenta la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) que ha tenido un papel importante en el ámbito de la protección de datos personales a partir de la entrada en vigor de la Directiva sobre protección de datos de carácter personal, 95/46/CE⁶ y, posteriormente, con el Tratado de Lisboa que incorporaría, al Derecho de la Unión, la Carta de Derechos Fundamentales de la Unión Europea. En este contexto, tanto el Tribunal Europeo de Derechos Humanos como el Tribunal de Justicia de la Unión Europea han venido realizando una labor fundamental interpretativa y de consolidación del derecho fundamental a la protección de datos personales en sus respectivos ámbitos. El Tribunal Europeo de Derechos Humanos ha establecido, de forma reiterada, que el artículo 8 del Convenio Europeo de Derechos Humanos presenta elementos negativos, de no hacer, prohibiendo las injerencias no justificadas por parte de la Autoridades públicas en el derecho a la protección de datos personales, pero por otra, parte, ha considerado que este derecho tienen un marcado contenido positivo que se materializaría en la obligación de los Estados de adoptar todas las medidas razonables y adecuadas para proteger los derechos del artículo 8 del Convenio. Esta doble obligación, negativa y positiva, garantiza la protección de las personas frente las injerencias arbitrarias de los Estados, pero también le confieren una protección frente a la actuación de entidades o personas privadas. El Tribunal de Justicia de la Unión Europea ha realizado una fundamental labor interpretativa del Derecho de la Unión en materia de protección de datos personales desde la óptica de los derechos fundamentales, no sólo definiendo los límites de los tratamientos de datos personales en el ámbito de las administraciones públicas y de las entidades privadas, sino también estableciendo la necesaria ponderación de los diferentes intereses en conflicto, muchas veces legítimos y contrapuestos.

III. SISTEMA DE FUENTES APLICABLE

El sistema de fuentes aplicable que deberá de ser tenido en cuenta en el desarrollo del dispositivo SECURHOME será el siguiente:

• Artículo 18.4 CE y artículo 8 de la Carta de Derechos Fundamentales de la UE.

• REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

• L.O. 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

• Convenio 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de sus datos de carácter personal y artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales de 1950.

IV. CONSIDERACIONES GENERALES SOBRE EL RGPD

Al ser un Reglamento comunitario:

a) Es obligatorio en todos sus elementos; está dotado de alcance general y es directamente aplicable en los Estados Miembros de la UE.

b) En todos los casos en los que proporcione reglas concretas se aplica el Reglamento; en aquellos casos en los que se permite precisar algunos contenidos a los Estados miembros podrán desarrollarlos. El legislador español, teniendo en cuenta estas habilitaciones a los Estados miembros en la regulación de determinadas materias “cuando deban ser especificadas, interpretadas o, excepcionalmente, restringidas (...) en la medida en la medida en que sea necesario por razones de coherencia y comprensión” (preámbulo de la L.O 3/2018) ha aprobado la citada L.O. 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

c) En caso de contradicción entre el Reglamento europeo y la normativa española PREVALECE el Reglamento.

El Reglamento ha entrado en vigor el 25 de mayo de 2016 y es aplicable en España desde el 25 de mayo de 2018.

El objeto del Reglamento General de Protección de Datos es proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales recogido en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea y garantizar la libre circulación de esos datos dentro de la UE. Así se recoge en el artículo primero y en el Preámbulo⁷ del RGPD. En él se afirma que “el tratamiento de datos personales debe estar concebido para servir a la humanidad.” La aprobación del Reglamento se sitúa en un contexto en el que “la rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales”, tanto por la magnitud de la recogida y del intercambio de datos personales, que ha aumentado de manera significativa, sino también porque tanto las empresas privadas como las autoridades públicas utilizan datos personales en una escala sin precedentes a la hora de realizar sus actividades.

V. ÁMBITO DE APLICACIÓN

En los artículos 2 y 3 del RGPD se establece su ámbito de aplicación, es decir el conjunto de tratamientos de datos personales a los que se les aplicará sus normas.

A) Ámbito territorial:

Desde el punto de vista de su competencia territorial, el Reglamento se aplica:

a) Al tratamiento de datos personales en las actividades de un establecimiento del responsable o del encargado en la Unión, con independencia de que el tratamiento tenga lugar en la Unión o no.

b) Al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

- la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

- el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

B) Ámbito de aplicación material:

El RGPD se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. Los datos personales son cualquier información sobre una persona física identificada o identificable («el interesado»), es decir, toda información sobre cualquier persona cuya identidad pueda determinarse, directa o indirectamente, “en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona” (art. 4 RGPD). La consideración de dato personal, la va tener cualquier información que nos permita relacionarla con una persona física concreta. El RGPD se aplica tanto a los ficheros de datos informatizados como a los datos personales contenidos en ficheros manuales. Las normas protectoras de datos personales se extenderán a los datos personales contenidos tanto en ficheros públicos como privados, automatizados o no⁸.

VI. LAS DEFINICIONES LEGALES RECOGIDAS EN EL RGPD

Tradicionalmente las normas sobre protección de datos personales han recogido entre sus preceptos las definiciones fundamentales para poder comprender el alcance de sus normas, así como para poder aplicarlas correctamente. Veamos las más relevantes para comprender el funcionamiento de los mecanismos de protección de datos personales.

a) Datos personales: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente. La consideración de dato personal, la va tener cualquier información que nos permita relacionarla con una persona física concreta, con independencia de la mayor o menor complejidad de la operación que nos conduzca hasta ella, excepto en los casos en los que dicha identificación requiera plazos o actividades excesivos. Además, no será necesario que el dato permita averiguar el nombre del afectado, sino que bastará con que los datos registrados permitan descubrir su ADN, su origen social, nivel económico, etc., de forma que nos permita determinar de quién se trata. Este concepto de identificación ampliado reviste gran importancia a la hora de proteger la vida privada de las personas al impedir, en buena medida, su identificación indirecta.

b) Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción (Art. 4.3 RGPD).

c) Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica (art. 4.6).

d) Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento (art. 4.7).

e) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento (art. 4.8).

f) Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física (art. 4.4).

VII. PRINCIPIOS RELATIVOS AL TRATAMIENTO

La legislación sobre protección de datos personales, tanto la normativa española como la europea, intenta conjurar los riesgos que para los derechos de las personas suponen el tratamiento de sus datos personales y al mismo tiempo garantizar los intereses, públicos o privados que legitimarían el tratamiento. Este objetivo se logra, en primer lugar, a través del establecimiento de una serie de garantías en forma de límites, requisitos y modos en los que las informaciones personales pueden y deben obtenerse, registrarse y ser tratadas y en forma de derechos subjetivos que dotan de contenido efectivo a las anteriores cautelas y con lo que se conseguirá un sistema eficaz de protección de los derechos fundamentales de los ciudadanos. El Reglamento Europeo (UE) 2016/679 integra ambos tipos de garantías bajo la denominación de principios relativos al tratamiento y los derechos de las personas en sus Capítulos II y III, respectivamente. Estos conjuntos de garantías se completan con las obligaciones previstas para el responsable y el encargado del tratamiento del Capítulo IV.

El artículo 5 del RGPD regula los principios básicos que deberán respetarse en la recogida, tratamiento, uso y almacenamiento de los datos personales; principios que reproduce, en gran medida, la LO 3/2018⁹: Son los siguientes:

a) Principio de licitud, lealtad y transparencia: los datos serán tratados de manera lícita, leal y transparente en relación con el interesado. Los datos personales deberán recogerse sin engaños o falsedades por parte de quien los solicita, prohibiéndose la utilización de medios fraudulentos, desleales o ilícitos. De este principio deriva “la necesidad de que los datos personales que se recojan en cualquier fichero sean obtenidos por medios lícitos, y de esta forma sea conocida su utilización por los afectados, siendo los responsables de su obtención quienes responden del cumplimiento de esta obligación”¹⁰.Por su parte, el principio de trasparencia es especialmente importante en el RGPD. En el Reglamento las referencias al principio son constantes, al menos en su parte expositiva. Son muchos los Considerando que recogen la obligación de que se facilite al interesado de forma sencilla, fácilmente accesible y en un lenguaje claro, toda la información relevante para él en el proceso de tratamiento de sus datos. El principio de transparencia está íntimamente ligado al derecho a recibir una información completa, clara y sencilla relativa a todos los aspectos relevantes de un tratamiento de datos personales y a las posibles consecuencias que se podrían derivar de ese tratamiento. En este sentido, se pueden destacar la obligación de informar al interesado sobre la elaboración de perfiles o sobre la adopción de decisiones automatizadas (artículo 22 RGPD).

b) Principio de limitación de la finalidad. El artículo 5 del RGPD establece que los datos personales “serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. El tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales”. Según esto, los datos sólo podrán recogerse y tratarse de acuerdo con una finalidad legítima y determinada y, por lo tanto, no podrán recogerse datos para finalidades contrarias a las leyes o al orden público, debiendo ser respetuosas con los valores constitucionales y los derechos fundamentales. Tampoco se recabarán datos personales para el cumplimiento de objetivos imprecisos o inconcretos y, en último término, los datos personales no podrán ser utilizados de forma incompatible con las finalidades para las que fueron recabados. El cumplimiento de este requisito impide asimismo que, una vez que los datos personales hayan sido utilizados para la finalidad legal para la que hubiesen sido recabados, puedan ser reutilizados para el cumplimiento de objetivos distintos a aquellos que motivó su solicitud y registro. En este sentido hemos de poner este principio en relación con el derecho de supresión del artículo 17 de RGPD que establece que el interesado tendrá el derecho y el responsable del tratamiento el correlativo deber de suprimir sin dilación indebida los datos personales cuando “ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo” .Finalmente, el principio de limitación de la finalidad prohíbe que éstos sean tratados ulteriormente de manera incompatible con dichos fines. No obstante, existe una excepción y es cuando sean tratados de acuerdo con los requisitos del art. 89.1 del RGPD con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales.

c) Principio de minimización de datos: los datos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Es decir, los datos deben «servir» para la finalidad para la que se obtienen de forma que exista una clara conexión entre la información que se recoge y el objetivo para el que se solicita. Por lo tanto, no van a poder solicitarse ni registrarse más datos personales que los estrictamente necesarios para llevar a cabo la misión de que se trate o cumplir la finalidad legítimamente encomendada al organismo público o empresa privada solicitante.

d) Principio de exactitud: los datos serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan¹¹. Este principio se encuentra desarrollado en la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales¹².

e) Principio de limitación del plazo de conservación: los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante el tiempo necesario para los fines del tratamiento. Podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado. Este principio está directamente relacionado con el principio de limitación de la finalidad y el derecho a la supresión o «borrado» de los datos cuando hayan dejado de ser necesarios para la finalidad legítima que justificó su recogida y tratamiento. Finalmente, el artículo 13.2 RGPD establece que el responsable del tratamiento deberá informar del plazo previsto durante el cual se conservarán los datos personales o, “cuando no sea posible, los criterios utilizados para determinar este plazo”.

f) Principio de integridad y confidencialidad (seguridad): los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

La importancia del principio de seguridad, en orden a garantizar los derechos de los afectados, es cada vez más importante. Al mismo tiempo que se ha producido un espectacular desarrollo de las capacidades de proceso de los ordenadores, en la microelectrónica y en el software, el desarrollo de Internet y de la computación en la nube, lo que ha permitido la proliferación de sistemas informáticos potentes y fáciles de utilizar, se han incrementado “los riesgos que amenazan a los datos almacenados y procesados por ellos y, en consecuencia, a los ciudadanos a quienes dichos datos conciernen,”¹³ pues mayores son los medios para «atravesar» las barreras de seguridad de un fichero. Por ello, las medidas de seguridad deben mejorarse y adecuarse a estos avances. La seguridad constituye uno de los aspectos que forman parte del contenido del derecho fundamental y “se convierte en un elemento esencial en la protección de las personas a través de la protección de sus datos y de los tratamientos de que forman parte”¹⁴. Sin seguridad no hay control posible de la información que nos concierne.

El concepto de seguridad debe abarcar tanto la confidencialidad de la información como la disponibilidad e integridad de la misma¹⁵ . Este principio debe ponerse necesariamente en relación con el principio siguiente, de responsabilidad proactiva y con las obligaciones que en materia de seguridad establece el artículo 32 del RGPD. Este último establece que “teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, ası́́ como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

• la seudonimización y el cifrado de datos personales;

• la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

• la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

• un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.”

Por último, este principio exigirá un deber general de confidencialidad sobre la información personal por parte del responsable y el encargado del tratamiento y de todas aquellas personas que intervengan en alguna fase del tratamiento. Este deber deberá subsistir incluso después de que haya finalizado la relación con el responsable del tratamiento; términos en los que se pronuncia también el artículo 5 de la Ley Orgánica 3/2018.

g) Principio de responsabilidad proactiva: el responsable del tratamiento será responsable del cumplimiento de estos principios y capaz de demostrarlo. Este principio se encuentra desarrollado en el artículo 24 del RGPD al establecer la obligación general del responsable del tratamiento de apicarar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento ası́́ como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. El GT29 en entiende que este principio tenía dos elementos principales:

“i) la necesidad de que el responsable del tratamiento adopte medidas adecuadas y eficaces para aplicar los principios de protección de datos;

ii) la necesidad de demostrar, si ası́́ se requiere, que se han adoptado medidas adecuadas y eficaces; ası́́ pues, el responsable del tratamiento de datos deberá́ aportar pruebas de (i).”¹⁶

Señala la Agencia Española de Protección de Datos que, en términos prácticos, este principio requiere que las organizaciones analicen qué clase de datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. Tras este análisis deberán “determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión”¹⁷.

VIII. BASES PARA LA LICITUD DEL TRATAMIENTO

Antes de entrar en la regulación del RGPD, prevista en el artículo 6 y siguientes, debemos recordar que, en el ámbito de la Unión Europea el derecho fundamental a la protección de datos personales se encuentra expresamente recogido en el artículo octavo de la Carta de Derechos Fundamentales de la Unión Europea de 7 de diciembre de 2000. Bajo el epígrafe «protección de datos de carácter personal», establece que:

“1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.

2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.

3. El respeto de estas normas quedará sujeto al control de una autoridad independiente.

Por lo tanto, el punto de partida para comprender e interpretar las bases para que unos tratamientos de datos personales sean lícitos viene establecidas en la propia Carta: el consentimiento del interesado u otro fundamento legítimo previsto en la Ley.

En el artículo 6 del RGPD se establece las bases del tratamiento lícito. En nuestro caso será aplicable el primero de los supuestos debiendo, esto es, el tratamiento de los datos necesarios para el desarrollo del dispositivo SECURHOME deberá basarse en el consentimiento del interesado, para uno o varios fines específicos. Por lo tanto, debemos detenernos en los requisitos y en la forma en la que el consentimiento del interesado ha de prestarse. El Reglamento lo define como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”¹⁸.Esto significa que no se admiten formas de consentimiento tácito o por omisión o basadas en la inacción.

Señala el GT29 que el consentimiento solo puede ser una base jurídica adecuada para el tratamiento de los datos personales “si se ofrece al interesado control y una capacidad real de elección con respecto a si desea aceptar o rechazar las condiciones ofrecidas o rechazarlas sin sufrir perjuicio alguno. Cuando solicita el consentimiento, el responsable del tratamiento tiene la obligación de evaluar si dicho consentimiento cumplirá́ todos los requisitos para la obtención de un consentimiento valido. Si se obtiene en pleno cumplimiento del RGPD, el consentimiento es una herramienta que otorga a los interesados el control sobre si los datos personales que les conciernen van a ser tratados o no. Si no es ası́́, el control del interesado será́ meramente ilusorio y el consentimiento no será́ una base jurídica válida para el tratamiento, lo que convertirá́ dicha actividad de tratamiento en una actividad ilícita”¹⁹.

El consentimiento es la manifestación de la voluntad del interesado y ha de cumplir los siguientes elementos o condiciones:

1º. Ha de ser libre. Que el consentimiento sea libre “implica una verdadera elección y control para los interesados”²⁰. Para el GT29 el consentimiento será libre cuando exista un control y una elección real por parte de los interesados, “si el sujeto no es realmente libre para elegir porque se siente obligado a dar su consentimiento o sufrirá consecuencias negativas si no lo da, entonces el consentimiento no puede considerarse valido”. Tampoco será válido si estuviera “incluido como una parte no negociable de las condiciones generales se asume que no se ha dado libremente”, o si “el interesado no puede negar o retirar su consentimiento sin perjuicio”²¹. En estos términos, el apartado 3 del artículo 6 de la Ley Orgánica 3/2018 indica específicamente que “no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual”.

2º. El consentimiento ha de ser informado. Como ya se ha explicado, la finalidad principal del RGPD es la de garantizar el derecho a la protección de datos personales. El requisito de consentimiento como ha señalado nuestro Tribunal Constitucional forma parte del haz de facultades que integran ese derecho y forma parte de su contenido esencial; pues, “son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos y a saber de los mismos”²². Es decir, corresponde al titular de los datos determinar cuáles de sus datos pueden ser registrados y tratados, por quién y para qué y para ello resulta imprescindible que previamente se le haya dado cumplimiento a la exigencia de información en los términos que establece el propio Reglamento. Es importante insistir en la idea de que, es condición indispensable para que el interesado pueda prestar el consentimiento, el cumplimiento previo del contenido del derecho de información en la recogida de datos²³. Pues, para poder autorizar el tratamiento de sus datos, ha de conocer las consecuencias que se derivarán del mismo, así como las características y naturaleza del tratamiento o su finalidad, ya que a través del consentimiento las personas tienen la posibilidad de determinar el nivel de protección de las informaciones personales que les atañen lo que hace necesario que se preste de forma consciente e informada, sabiendo cual será realmente el alcance de sus actos. Además, el consentimiento se presta en unas condiciones específicas y para unas finalidades determinadas, condiciones y finalidades que el interesado debe conocer anteriormente.

3º. El consentimiento será específico. El consentimiento se prestará para una o varias finalidades concretas, específicas y determinadas. Este requisito ha de conectarse necesariamente con el principio de limitación del tratamiento del artículo 5.1 del RGPD y, así, para que el consentimiento sea válido, previamente habrá de determinarse el fin específico, explícito y legítimo para el tratamiento previsto. Por otra parte si se pretende recabar el consentimiento para varias finalidades, deberán especificarse cada una de ellas y “el interesado tiene que elegir si lo presta o no en relación con cada uno de ellos”²⁴; en similares términos se recoge en el apartado segundo del artículo 6 de la Ley Orgánica 3/2018.

4º. El consentimiento será inequívoco. El RGPD establece en el artículo 4 que el consentimiento es la manifestación de la voluntad “inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.” Por lo tanto, para prestar el consentimiento válidamente este requerirá de una actuación por parte del interesado. Señala el GT29 que “una «clara acción afirmativa» significa que el interesado debe haber actuado de forma deliberada para dar su consentimiento a ese tratamiento en particular”²⁵ . Corresponderá al responsable del tratamiento demostrar que ha obtenido el consentimiento cumpliendo los requisitos del RGPD. El artículo 7.1 establece que “cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá́ ser capaz de demostrar que aquel consintió́ el tratamiento de sus datos personales.”

En determinados casos el RGPD exige que el consentimiento, además de inequívoco, sea de ser explícito; por ejemplo, para el tratamiento de datos sensibles según establece el art. 9 o en el caso de la adopción de decisiones automatizadas de acuerdo con lo dispuesto en el artículo 22.

El consentimiento será revocable en cualquier momento, si bien no producirá efectos retroactivos.

IX. LOS DATOS SENSIBLES

Las informaciones sensibles son aquellas que se refieren a cuestiones íntimamente ligadas al núcleo de la personalidad y de la dignidad humana. Se distinguen varios grupos o categorías de datos que, por diversas razones exigen una protección máxima, habida cuenta lo directamente comprometidas que se hallarían la dignidad y libertad de las personas por su uso ilegítimo. En el RGPD estas categorías especiales de datos se encuentran recogidos en el artículo 9 del RGPD, que prohíbe “el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física”. Su regulación presenta algunas novedades respecto de la normativa anterior. En primer lugar, se incluyen dos nuevas categorías de datos sensibles: los datos genéticos y los datos biométricos dirigidos a identificar a una persona de manera inequívoca.

El RGPD no establece una prohibición absoluta de tratamiento de datos personales y en el apartado 2 del artículo 9 se recogen varias excepciones. De todas ellas para el desarrollo de nuestro proyecto es especialmente relevante la primera de ellas:

1) Cuando el interesado otorgue “su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado”.

La Ley Orgánica 3/2018 en su artículo 9 señala a los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. No obstante, esto no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda.

X. DERECHOS DEL INTERESADO

De acuerdo con la jurisprudencia del Tribunal Constitucional el contenido esencial del derecho fundamental a la protección de datos personales está constituido “por un haz de facultades consistentes en diversos poderes que imponen a terceros correlativos deberes26. Este haz de facultades que forman parte del contenido esencial del derecho a la protección de datos personales se concretan en el RGPD, en sus artículos 12 y siguientes.

1. El principio de transparencia y el derecho a ser informado

El artículo 5 del RGPD incluye, dentro de los principios relativos al tratamiento, el principio de transparencia estableciendo que los datos personales serán “tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»). El objetivo de este principio debe ser garantizar al interesado de un modo efectivo que “sea consciente de la lógica a que obedece el tratamiento de sus datos personales”²⁷ para que de verdad pueda tener una auténtico poder de disposición sobre ellos.En virtud de este principio y de acuerdo con lo establecido en el artículo 12 RGPD, el responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, cualquier comunicación con arreglo a los derechos recogidos en el capítulo III del RGPD, así como en el supuesto de que se produzca una violación de datos de acuerdo con lo previsto en el art. 34. Dicha información deberá facilitarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. En este último caso, si la información se dirige a niños, deberá adaptarse el lenguaje empleado para que les sea fácilmente comprensible (Considerando 58).

La información, de acuerdo con lo establecido en el artículo 12 del RGPD, será facilitada por escrito o por otros medios, incluido a través de medios electrónicos, por ejemplo, mediante un sitio web. También podrá facilitarse verbalmente cuando lo solicite el interesado y siempre que se demuestre la identidad del interesado por otros medios. La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse, asimismo, a través de iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto (art. 12.7). El principio de transparencia está íntimamente ligado al derecho a recibir una información completa, clara y sencilla relativa a todos los aspectos relevantes de un tratamiento de datos personales y a las posibles consecuencias que se podrían derivar el ese tratamiento. Los artículos 13 y 14 del RGPD detallan el contenido del derecho de información, cuando los datos personales se obtengan del interesado o cuando se obtengan de terceros.

Si los datos se obtienen directamente del interesado, habrá de facilitársele la siguiente información:

- la identidad y los datos de contacto del responsable (o de su representante); - los datos de contacto del delegado de protección de datos, si lo hubiera; - los fines y la base jurídica del tratamiento. Si el tratamiento se basa en un interés legítimo del responsable o de un tercero, deberá informarle de ese extremo; - sobre los destinatarios de los datos personales; - si se va a realizar una transferencia de datos personales a un tercer país u organización internacional, de todas las cuestiones relacionadas con ella. - el plazo durante el cual se conservarán los datos personales o, si no fuera posible conocerlo, los criterios utilizados para determinar este plazo;

- que tiene derecho a acceder, rectificar, suprimir sus datos personales de acuerdo con lo dispuesto en el RGPD. Asimismo, que tienen derecho a la limitación de su tratamiento, o a oponerse al mismo y a la portabilidad de los datos;

- que tiene derecho a retirar el consentimiento en cualquier momento, sin que ello produzca efectos retroactivos;

- que tiene derecho a presentar una reclamación ante una autoridad de control; - de si es obligatorio o no facilitar los datos y de las consecuencias de la negativa a facilitarlos cuando la comunicación de datos personales sea un requisito legal o contractual, o un requisito necesario para suscribir un contrato; - de la existencia de decisiones automatizas, incluida la elaboración de perfiles.

Cuando los datos no se obtengan del interesado, deberá informarle de todas las cuestiones anteriores y además de las categorías de datos que se traten y de la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público (art. 14).

El momento de facilitar la información al interesado varía en función de que los datos se hayan obtenido directamente de él o no. La información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro, si es que los datos se obtienen directamente del interesado. En el caso de que los datos no se obtengan del propio interesado, el responsable le informará dentro de un plazo razonable que no podrá ser superior a un mes desde la obtención de los datos personales o en el momento en el que se produzca la primera comunicación al interesado, cuando los datos se recogieron para enviarle alguna comunicación. Si estuviera previsto comunicar los datos a un tercero, como muy tarde en el momento en que se produzca la primera comunicación.

2. El derecho de acceso

El derecho de acceso es un elemento central del derecho a la protección de datos personales. Se encuentra recogido, junto con el derecho de rectificación, en el contenido del artículo 8 de la Carta de derechos fundamentales UE. Cuando el interesado ejercite su derecho de acceso, el responsable del tratamiento deberá confirmarle, en primer lugar, si se están o no tratando sus datos²⁸. Si los está tratando deberá proporcionarle el acceso a sus datos y a la información sobre su tratamiento que es prácticamente coincidente con el establecido en los artículos 13 y 14 para el derecho de información a excepción de la referencia a la base jurídica del tratamiento y el interés legítimo²⁹. No obstante, en la medida en que el TJUE³⁰ ha venido reconociendo al derecho de acceso una función instrumental en relación con los demás derechos reconocidos en el RGPD, deberíamos entender incluidos esos extremos ya que este derecho “ha de materializarse en un modo que permita verificar al interesado que el tratamiento cumple con la legalidad y en su caso ejercer los derechos de 16 al 22”³¹.

3. El derecho de rectificación

Como en el caso del derecho anterior, el derecho de rectificación se encuentra expresamente mencionado en el artículo 8.2 de la Carta de Derechos Fundamentales de la Unión Europea. Está recogido en el artículo 16 del RGPD, que establece que “el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.” Se trata de que una vez identificado el dato erróneo, el dato se corrija, se actualice o se complete para que responda a la realidad de su titular.

4. Derecho de supresión o derecho al olvido

El derecho al olvido digital es una manifestación directa de los principios de proporcionalidad (minimización de datos) y finalidad (limitación de la finalidad), que exige que la cancelación de los datos personales que ya no sean necesarios para la realización de la finalidad determinada que motivó su recogida y tratamiento. Pues el simple paso del tiempo puede convertir en inadecuado un tratamiento de datos inicialmente legítimo. Así lo ha entendido el TJUE. En su sentencia de 13 de mayo de 2014 (asunto Google Spain).

El artículo 17 RGPD establece el derecho del interesado a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan. El responsable del tratamiento estará obligado a suprimirlos sin dilación indebida, en los siguientes casos:

- Cuando ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo o cuando hayan sido tratados ilícitamente;

- Cuando el interesado retire el consentimiento y este no se base en otro fundamento jurídico o cuando se oponga al tratamiento;

- Si existe una obligación legal de suprimirlos;

- Cuando los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información.

La obligación de suprimir los datos personales del interesado cuando se de alguna de las circunstancias anteriores se completa con una segunda obligación cuyo cumplimiento es muy importante en un entorno en línea. En el apartado segundo del artículo 17 se establece que cuando el responsable del tratamiento haya hecho públicos los datos y esté de conformidad con el RGPD obligado a suprimirlos datos, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos. No es posible el control sobre los propios datos si no se garantiza el derecho a suprimirlos definitivamente en la red y para ello no es suficiente con su desaparición de la web master (el responsable principal) sino que es necesario que se establezca esta segunda obligación, dirigida a terceros de la solicitud del interesado para que “borren cualquier link, copia o reproducción de éstos, cuando se produzcan determinadas circunstancias, con el fin de que no puedan ser accesibles a través de Internet”³².

El derecho a la supresión no es un derecho absoluto, el apartado 3 del artículo 17 establece que no será de aplicación lo dispuesto en los apartados anteriores cuando el tratamiento sea necesario:

a) para ejercer el derecho a la libertad de expresión e información;

b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;

c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;

d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o e) para la formulación, el ejercicio o la defensa de reclamaciones.

5. El derecho a la limitación del tratamiento

El art. 18 del RGPD recoge el derecho del interesado a obtener del responsable la limitación del tratamiento de sus datos cuando se den determinadas circunstancias. La limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. La limitación del tratamiento viene definida en el art. 4 del RGPD como “el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro”.

Se puede solicitar en los siguientes casos:

- El interesado ha ejercido el derecho de rectificación y ha impugnado la exactitud de los datos, durante el plazo que permita al responsable verificarla; - El interesado ha ejercido el derecho de oposición y el responsable está en proceso de determinar si procede atender a la solicitud.

- El tratamiento es ilícito, lo que determinaría el borrado de los datos, pero el interesado se opone a ello.

- Los datos ya no son necesarios para el tratamiento, lo que también determinaría su borrado, pero el interesado solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de reclamaciones.

Se trata de supuestos en los que, esencialmente, “el tratamiento de los datos es ilícito, y por tanto el interesado necesita que se mantenga la prueba de dicho incumplimiento para que la misma no desaparezca, o el interesado necesita que se mantengan los datos personales, incluso después de que se haya cumplido la finalidad del tratamiento, para presentar, ejercer o defenderse en reclamaciones”³³.

Precisa el apartado segundo del artículo 18 que, cuando se limite el tratamiento de datos personales, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, en los siguientes casos³⁴:

- con el consentimiento del interesado;

- para la formulación, el ejercicio o la defensa de reclamaciones;

- para proteger los derechos de otra persona físico o jurídica;

- para garantizar un interés público importante de la Unión o de un d Estado miembro.

Finalmente, cualquier persona interesada que haya obtenido la limitación del tratamiento habrá de ser informado por el responsable antes de que se levante dicha limitación.

6. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento

Una vez que se hayan hecho efectivos estos derechos, el responsable del tratamiento deberá comunicar cualquier rectificación o supresión de datos personales o limitación del tratamiento a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado (art. 19). También informará al interesado acerca de dichos destinatarios, si este así lo solicita.

7. Derecho a la portabilidad de los datos

Uno de las novedades que introduce el RGPD es el derecho recogido en su artículo 20. La Ley Orgánica 3/2018 lo recoge en el artículo 17 con una remisión directa y sin especificaciones al citado precepto del RGPD. Se trata de un derecho autónomo y diferente de los derechos arco y cuyo antecedente podemos encontrar en España en el derecho a la portabilidad numérica en el ámbito de la telefonía. Según el propio RGPD (Considerando 68) la razón de ser de este nuevo derecho es “reforzar aún más el control sobre sus propios datos, cuando el tratamiento de los datos personales se efectúe por medios automatizados”.

Establece el artículo 20 del RGPD que el interesado tendrá́ derecho a recibir del responsable del tratamiento los datos personales que le incumban en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable. El interesado además podrá exigir que los datos personales se transmitan directamente de responsable a responsable, si ello es técnicamente posible.

Podrá ejercerse:

• Cuando el tratamiento se efectúe por medios automatizados;

• Cuando el tratamiento se base en el consentimiento o en un contrato;

• Cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernan, incluidos los datos derivados de la propia actividad del interesado.

Este derecho no excluye el derecho a la supresión de los datos del artículo 17 del RGPD.

8. Derecho de oposición

En el art. 21 se garantiza el derecho del interesado a oponerse al tratamiento de sus datos en varios supuestos³⁵.

En primer lugar, por motivos relacionados con la situación particular del interesado cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (art. 6.1.e del RGPD) o cuando el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero (art. 6.1.f del RGPD), incluida la elaboración de perfiles sobre la base de dichas disposiciones. En este caso, el derecho de oposición no es un derecho absoluto³⁶ ya que, en este caso, el responsable del fichero podrá seguir tratando los datos cuando acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones. No obstante, es importante tener en cuenta que en el considerando 69 de RGPD señala que deberá ser el responsable el que demuestre que sus intereses legítimos imperiosos prevalecen sobre los intereses o los derechos y libertades fundamentales del interesado.

En segundo lugar, por motivos relacionados con la situación particular, podrá oponerse al tratamiento de sus datos personales con fines de investigación científica o histórica o fines estadísticos de acuerdo con lo establecido en el art. 89.1 del RGPD, salvo que el tratamiento sea necesario para el cumplimiento de una misión realizada por razones de interés público.

En tercer lugar, podrá oponerse al tratamiento de datos con fines de mercadotecnia directa, e incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.

9. Elaboración de perfiles y decisiones individuales automatizadas

En el Reglamento Europeo se regulan la elaboración de perfiles y el derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizados. Anteriormente esta cuestión estaba regulada en la Directiva 95/46/CE y sobre ello se había pronunciado el Consejo de Europa en la Recomendación (2010)13 sobre la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal en el contexto de la creación de perfiles del Comité de Ministros del Consejo de Europa³⁷. El artículo 22 del Reglamento garantiza el derecho del interesado a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles³⁸, que produzca efectos jurídicos en él o le afecte significativamente de modo similar, teniendo en cuenta los principios anteriores. No estamos ante un derecho absoluto, estableciéndose una serie de excepciones, si bien no es necesario abordarlas en este momento.

10. Procedimiento para su ejercicio y límites a los derechos del interesado

En el artículo 12 del RGPD se establece que el responsable del tratamiento facilitará al interesado el ejercicio de sus derechos. El ejercicio de estos derechos será gratuito, como regla general y deberán hacerse efectivo en el plazo que determina el RGPD: el responsable deberá informar al interesado su petición en el plazo de un mes (dos meses más si se trata de trate de solicitudes especialmente complejas, debiendo notificar esta ampliación dentro del primer mes). Si el responsable decide no atender una solicitud, también deberá informar de ello al interesado dentro del plazo de un mes desde su presentación e informándole de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.

Los derechos del interesado no son absolutos y el artículo 23 establece que se podrán limitar por el Derecho de la Unión o de los Estados miembros para salvaguardar determinados valores importantes.

XI. EL RESPONSABLE Y EL ENCARGADO DEL TRATAMIENTO: SUS OBLIGACIONES.

El RGPD distingue dos figuras diferentes en la utilización de los datos personales, por una parte, el responsable y, por otra, el encargado del tratamiento. Responsable del fichero es la persona física o jurídica, de naturaleza pública o privada u órgano administrativo que solo o junto con otros, determine los fines y medios del tratamiento. Es la persona que dirige y controla los ficheros de datos personales y cada una de la operaciones y tratamientos a las que son sometidos. El encargado del tratamiento es quien trata los datos personales por cuenta del responsable del tratamiento. También puede ser una persona física o jurídica, autoridad pública, servicio u organismo y es indiferente que el tratamiento de datos lo realice en exclusiva o conjuntamente con otros encargados del tratamiento.

Tanto el responsable como el encargado del tratamiento están obligados por todas y cada una de las disposiciones del RGPD. Muchos de estos deberes se deducen del contenido de los derechos de los afectados, pero otros han sido expresamente regulados en el Reglamento y alguno de ellos se encuentra recogidos en la nueva ley de protección de datos personales. En el RGPD se establecen obligaciones específicas para los responsables del tratamiento. Entre otras: mantener un registro de actividades de tratamiento, determinar las medidas de seguridad aplicables a los tratamientos que realizan o designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.

1. OBLIGACIONES GENERALES

El art. 24 del RGPD establece que, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario. Como hemos visto, en el artículo 5 del Reglamento se recoge el principio de responsabilidad proactiva como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. Por otra parte, el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales desarrolla esta obligación estableciendo que los responsables y encargados, teniendo en cuenta lo dispuesto en el Reglamento (UE) 2016/679, determinaran las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la ley orgánica de protección de datos, sus normas de desarrollo y la legislación sectorial aplicable.

2. PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO.

El artículo 25 del RGPD recoge el principio de privacidad desde el diseño y por defecto estableciendo que:

a) Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudoanimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

b) El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizaran en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

c) Podrá utilizarse un mecanismo de certificación según lo establecido en el RGPD como elemento que acredite el cumplimiento de estas obligaciones.

El principio de privacidad desde el diseño aparece en la década de los noventa promovido por Ann Cavoukian, Comisionada de Información y Privacidad de Ontario y se extendería a una «trilogía» de aplicaciones que englobarían los sistemas de tecnologías de la información, las prácticas de negocio responsable y el diseño físico e infraestructura en red³⁹. Esta filosofía se basa en 7 principios fundamentales⁴⁰: proactivo, no reactivo; privacidad como la configuración predeterminada o privacidad por defecto⁴¹; privacidad incrustada, funcionalidad total; seguridad extremo-a-extremo; visibilidad y transparencia y respeto por la privacidad de los usuarios.

La privacidad desde el diseño se presenta como “una vía esencial para ejercer la autodeterminación, la herramienta para facilitar la aplicación de la Ley de conformidad con sus principios”⁴². Se parte de la idea de que la protección de los datos personales y los derechos relativos a la vida privada deben incorporarse en la construcción de los sistemas de información, negocios, dispositivos, aplicaciones, etc., evaluando “todos los procesos y flujos de información previstos en el sistema, analizando sus implicaciones en privacidad desde un punto de vista holístico, preventivo y con un foco más allá del marco jurídico vigente”⁴³.

3.REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO

Cada responsable y cada encargado del tratamiento llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad (art. 30 RGPD). El registro deberá contener información relativa al nombre y los datos de contacto del responsable, y, si los hubiera, del corresponsable, del representante del responsable, y del delegado de protección de datos, a los fines del tratamiento, las categorías de interesados y de datos personales, las categorías de los destinatarios de los datos, incluidos los de terceros países u organizaciones internacionales; si fuera posible, los plazos previstos para la supresión de las diferentes categorías de datos, así como, una descripción general de las medidas técnicas y organizativas de seguridad.Esta obligación se completa con la del encargado del tratamiento de llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable. En este sentido, el artículo 31 de la Ley Orgánica 3/2018 establece que “el registro, que podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el citado reglamento”. El apartado 5 del artículo 30 del RGPD establece una excepción a esta obligación por razón del tamaño de la empresa u organización de forma que no estarán obligadas las empresas u organizaciones que empleen a menos de 250 personas, salvo que el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos (datos sensibles del artículo 9 o datos relativos a condenas e infracciones penales a que se refiere el artículo 10).

4. COOPERACIÓN CON LA AUTORIDAD DE CONTROL

En el RGPD se establece la obligación para el responsable y el encargado del tratamiento de cooperar con la autoridad de control que lo solicite en el desempeño de sus funciones. En el artículo 52 de la nueva ley de protección de datos personales se concreta quienes deben colaborar con la Agencia Española de Protección de Datos y en qué casos y de qué forma en el ejercicio de sus potestades de investigación y auditoría previa.

5. OBLIGACIONES RELATIVAS A LA SEGURIDAD DE LOS DATOS PERSONALES

5.1. La obligación de seguridad.

Son varias las obligaciones que le Reglamento impone al responsable y al encargado de tratamiento en materia de seguridad para hacer efectivo el principio de confidencialidad y seguridad de la información del artículo 5 del REGPD. En primer lugar, como ya hemos estudiado aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, habida cuenta del estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. Entre otras medidas incluirán:

- la seudonimización y el cifrado de datos personales;

- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

- la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

- un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Para establecer un adecuado nivel de seguridad habrán de tenerse en cuenta los riesgos del tratamiento de datos, en especial en lo relativo a la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Por otra parte, la adhesión a un código de conducta o a un mecanismo de certificación podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en materia de seguridad en el RGPD.

En el apartado 5 del artículo 32 se establece además que el responsable y el encargado del tratamiento deberán tomar medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.

Esta obligación se complementa con el deber de confidencialidad en la Ley Orgánica 3/2018.El artículo 5 de la nueva ley de protección de datos personales establece una obligación general de confidencialidad para el responsable, el encargado o para cualquier otra persona que intervenga en alguna fase del tratamiento de los datos personales. El deber de confidencialidad es compatible con el deber de secreto profesional de conformidad con su normativa aplicable. Las obligaciones de confidencialidad o de secreto profesional se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.

5.2. La obligación de notificar las violaciones de seguridad.

Otra obligación relativa a la seguridad de los datos personales es la notificación de una violación de la seguridad de los datos personales a la autoridad de control. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento habrá de notificarlo a la AEPD sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación no cumple el plazo de 72 horas, deberá ir acompañada de indicación de los motivos del retraso.

También el encargado del tratamiento deberá notificar sin dilación indebida al responsable las violaciones de la seguridad de los datos personales de las que tenga conocimiento. En aquellos casos en los que sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento deberá comunicársela al interesado sin dilación indebida en un lenguaje claro y sencillo, salvo que concurra alguna de las excepciones previstas en el artículo 33 de RGPD.

6.EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS

El RGPD establece para el responsable del tratamiento la obligación de realizar, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en aquellos casos en los que sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas (art. 35). En determinados casos la evaluación de impacto será obligatoria: cuando se traten datos sensibles, en los procesos de elaboración de perfiles o en casos de seguimiento a gran escala en zonas de acceso público. Si la evaluación de impacto muestra que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo deberá consultar a la autoridad de control antes de proceder al tratamiento de datos personales.

El análisis de impacto de la privacidad es “un estudio que describe los flujos de información privada dentro de un sistema o proyecto y analiza los posibles impactos de dichos procesos en la privacidad de sus usuarios”⁴⁴ y debe incluir al menos las siguientes áreas de análisis: información sobre el sistema o proyecto, marco normativo aplicable, caracterización de la información tratada, motivos y finalidades de la recogida de la información y usos de la información, compartición interna y externa, identificando todos los procesos, políticas de uso y privacidad, seguridad de la información registro, y, finamente, los plazos de retención y procedimientos de eliminación segura⁴⁵.

En el Reglamento se establece un contenido mínimo para las evaluaciones de impacto, que deberá incluir una descripción general de las operaciones de tratamiento previstas, con una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad, una valoración del riesgo, las medidas contempladas para hacer frente al riesgo, con inclusión de garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales teniendo en cuenta los derechos e intereses legítimos de los interesados y demás personas afectadas. Esta regulación podría tener consecuencias sobre la seguridad de los datos personales ya que será el propio responsable el que decida “las medidas a implantar en función de una evaluación efectuada por el mismo”⁴⁶.

PROTECCIÓN DE DATOS E INTERNET DE LAS COSAS: SECURHOME

⁴²LL.CER MATAC.S, Mar.a Rosa: La autodeterminaci.n informativa en la sociedad de la vigilancia: Ubiquitous Computing, ob. cit., p. 90.

⁴³MEG.AS TEROL, Javier: “Privacy by desing, construcci.n de redes sociales garantes de la privacidad, ob. cit., p. 320.

⁴⁴MEG.AS TEROL, Javier: “Privacy by desing, construcci.n de redes sociales garantes de la privacidad, ob. cit., p.322.

⁴⁵Ib.dem, p. 323 y 324.

⁴⁶ARENAS RAMIRO, M.nica: Reforzando el ejercicio del derecho a la protecci.n de datos personales, en RALLO LOMBARTE, Artemi y GARC.A MAHAMUT, Rosario: Hacia un nuevo Derecho europeo de protecci.n de datos, Tirant lo Blanch, Valencia, 2015,p. 354.