SEGURIDAD DE LOS DATOS PERSONALES

Los datos personales pertenecen a las personas individuales (Interesados). Las

entidades solo podrán tratar estos datos si obtienen, por parte del Interesado, el
consentimiento para tratarlos y los protejan como determina el Reglamento General de
Protección de Datos.

RECORDEMOS:

DATO PERSONAL = Toda información sobre una

persona física identificada o identificable, se
considerará persona identificable a toda persona
cuya identidad pueda determinarse directa o
indirectamente.

TRATAMIENTO = Cualquier operación realizada

sobre datos personales; obtención, acceso,
intervención, transmisión, conservación y
supresión.

FICHERO = Conjunto estructurado de datos

personales susceptibles de tratamiento para un fin
determinado.

1. TIPOLOGÍA DE DATOS

En el RGPD, se distingue entre 3 categorías de datos:

datos personales que no correspondan a categorías especiales de

datos ni a condenas y delitos penales, por ejemplo: nombre,
dirección, email, teléfono, edad, sexo, firma, imagen, aficiones,
patrimonio, datos bancarios, indormacón académica, social...

datos relativos al orígen étnico o racial, opiniones políticas,

convicciones religiosas o filosóficas, afiliación sindical, datos
genéticos o biométricos que permitan la identificación unívoca de
una persona, datos relativos a la salud, satos relativos a la vida u
orientación sexual de la persona

datos relativos a condenas y delitos penales o medidas de

seguridad afines
DATOS PEROSNALES SEUDONIMIZADOS

Los principios de la protección de datos

PRINCIPIOS:
deben aplicarse a toda la información relativa  Principio de licitud, lealtad y transparencia

a una persona física identificada o  Principio de limitación de la finalidad

 Principio de exactitud de los datos
identificable. Los datos personales
 Principio de minimización de datos
seudonimizados, que cabría atribuir a una  Protección desde el diseño y por defecto

persona física mediante la utilización de

información adicional, deben considerarse información sobre una persona física
identificable (se considerará persona identificable a toda persona cuya identidad pueda
determinarse directa o indirectamente).

La utilización de seudónimos (seudonimización) se utiliza para ocultar identidades con

la finalidad de recopilar más datos sobre una misma persona sin necesidad de conocer
su identidad. Su uso es especialmente pertinente en los ámbitos estadístico e
investigador.

La seudonimización puede realizarse de forma

 que quede un rastro entre el seudónimo y la identidad con la que se

corresponde, utilizando listas de correspondencias o algoritmos
criptográficos bidireccionales

La eficacia del procedimiento de seudonimización

depende de varios factores en qué etapa se utiliza,  sin dejar rastro alguno que
su grado de seguridad contra el rastreo inverso, el
permita vincular un seudónimo con una
tamaño de la población en la que se oculta al
individuo, la capacidad de vincular transacciones o identidad, utilizando, por ejemplo, la
documentos individuales con una misma persona,
criptografía unidireccional, que en general
etc
crea datos anónimos

Como se observa, los datos de una seudonimización rastreable pueden considerarse

información sobre personas físicas indirectamente identificables, ya que la utilización
de un seudónimo supone la posibilidad de seguir un rastro hasta llegar a la identidad
de la persona, aunque solo en condiciones previamente definidas. En ese caso,
aunque son aplicables las normas de protección de datos, los peligros para los
individuos en lo referente al tratamiento de esa información identificable indirectamente
son la mayoría de las veces muy pequeños.
En consecuencia, uno de los consejos que traslada el RGPD es la aplicación de la
seudonimización a los datos personales para así reducir los riesgos para los
Interesados afectados y ayudar a los Responsables y a los Encargados del
Tratamiento a cumplir sus obligaciones de protección de los datos.

Asimismo, el Responsable o Encargado del Tratamiento que utilice la seudonimización

de los datos debe mantener por separado la información adicional para la atribución de
los datos personales a una persona concreta, e indicar qué personas estarán
autorizadas a acceder a dicha información.

La LOPD y su Reglamento de desarrollo (en adelante RLOPD) diferenciaba

la tipología de datos según la naturaleza de la información tratada, en
relación con la menor o mayor necesidad de garantizar la confidencialidad y
la integridad de la información.

Clasificaba los datos de la siguiente manera:

NIVEL ALTO. Ficheros o tratamientos con datos:

 de ideología, afiliación sindical, religión, creencias, origen racial,
salud o vida sexual y respecto de los que no se prevea la posibilidad
de adoptar el nivel básico
 recabados con fines policiales sin consentimiento de las personas
afectadas
 derivados de actos de violencia de género

NIVEL MEDIO. Ficheros o tratamientos con datos:

 relativos a la comisión de infracciones administrativas o penales
 datos para la prestación de servicios de solvencia patrimonial y
crédito
 de Administraciones tributarias, y que se relacionen con el ejercicio
de sus potestades tributarias
 de entidades financieras para las finalidades relacionadas con la
prestación de servicios financieros
 de Entidades Gestoras y Servicios Comunes de Seguridad Social,
que se relacionen con el ejercicio de sus competencias
 de mutuas de accidentes de trabajo y enfermedades profesionales de
la Seguridad Social
  que ofrezcan una definición de la personalidad y permitan evaluar
determinados aspectos de la misma o del comportamiento de las
personas
 de los operadores de comunicaciones electrónicas, respecto de los
datos de tráfico y localización

NIVEL BÁSICO. Cualquier otro fichero que contenga datos de carácter

personal. También aquellos ficheros que contengan datos de ideología,
afiliación sindical, religión, creencias, salud, origen racial o vida sexual,
cuando:
 los datos se utilicen con la única finalidad de realizar una
transferencia dineraria a entidades de las que los afectados sean
asociados o miembros
 se trate de ficheros o tratamientos de estos tipos de datos de forma
incidental o accesoria, que no guarden relación con la finalidad del
fichero
 en los ficheros o tratamientos que contengan datos de salud, que se
refieran exclusivamente al grado o condición de discapacidad o la
simple declaración de invalidez, con motivo del cumplimiento de
deberes públicos

La Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995

relativa a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos, estableció la obligación
general de notificar el tratamiento de datos personales a las Autoridades de Control
(obligación de la notificación de ficheros a la Autoridad de Control). Sin embargo, esta
obligación no contribuyó en todos los casos a mejorar la protección de los datos
personales.

En consecuencia, el RGPD apuesta por sustituir esta obligación de notificación por

procedimientos y mecanismos eficaces que se centren, no tanto en el tipo de datos,
sino en los tipos de operaciones de tratamiento que, por su naturaleza, alcance,
contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades
de las personas físicas. Estos tipos de operaciones de tratamiento pueden ser, en
particular, las que implican el uso de nuevas tecnologías.
Otras categorías de tratamiento que subraya el RGPD son:

 Tratamiento con Alto Riesgo: tratamiento que estará siempre sujeto a una
evaluación de impacto por ser susceptible de comportar un alto riesgo para la
protección de los derechos y libertades de los interesados.

En este caso, el resultado de la evaluación de impacto determinará las medidas

adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos
personales protege los datos conforme al RGPD. En el caso que el resultado de dicha
evaluación mostrara que las operaciones de tratamiento entrañan un alto riesgo que el
Responsable no puede mitigar con medidas adecuadas en términos de tecnología
disponible y costes de aplicación, debe consultarse a la Autoridad de Control antes del
tratamiento.

Algunos ejemplos en los que es se deberá realizar una Evaluación de Impacto por ser
susceptibles a comportar un alto riesgo en la protección de datos serían:

 Tratamientos referentes a poner en funcionamiento una aplicación

tecnológica que vaya a almacenar y tratar datos de carácter personal
 la comunicación de datos personales entre dos o más organizaciones
 el tratamiento de datos personales que suponga la identificación de un
grupo en relación al resto de la sociedad
 los sistemas de vigilancia (incluyendo la videovigilancia y monitorización
de individuos)
 la normativa y políticas públicas cuando se estén elaborando, antes de
aprobarlas, y por tanto, antes de ponerlas en práctica

 Transferencias internacionales de datos: traspaso de datos a Responsables o

Encargados del Tratamiento, o a Destinatarios de terceros países u
organizaciones internacionales no establecidas dentro de la Unión Europea.

RECORDEMOS:

ORGANIZACIÓN INTERNACIONAL: Cualquier

organismo y sus entes subordinados de Derecho
internacional, creado mediante un acuerdo entre
dos o más países o en virtud de tal acuerdo.
  - Elaboración de perfiles:

RECORDEMOS:

ELABORACIÓN DE PERFILES = la confección de

decisiones individuales basadas en un tratamiento
automatizado de datos, destinadas a evaluar aspectos
personales o analizar o predecir el rendimiento profesional,
situación económica, salud, preferencias o intereses
personales, fiabilidad, comportamiento, ubicación o
movimientos de una persona.

En la sociedad de la información la información personal, y con ello, los datos

personales, se ha convertido en moneda de cambio ya que como es bien conocido, al
navegar el Internauta deja un rastro económicamente rentable.

Las prácticas de funcionamiento de Internet, el

rastreo de las IP, la información básica sobre las
aplicaciones instaladas en los ordenadores
personales o las cookies, generan perfiles de uso
aprovechables con la finalidad de establecer
perfiles genéricos de navegación, lo cual puede
generar un determinado valor de mercado.
Seguir el rastro de una navegación, incluso sin
Cookie =
Pequeña información enviada por un sitio web y
almacenada en el navegador del usuario, de manera
que el sitio web puede consultar la actividad previa del
usuario.
Sus principales funciones son:
 Llevar el control de usuarios: cuando un usuario
introduce su nombre de usuario y contraseña, se
almacena una cookie para que no tenga que estar
introduciéndolas para cada página del servidor.
 Conseguir información sobre los hábitos de
navegación del usuario intentos de spyware

identificar de modo concreto al Internauta, aporta (programas espía), por parte de agencias de
publicidad y otros. Esto puede causar problemas
información muy valiosa si se sabe contextualizar. de privacidad y es una de las razones por la que

El usuario, de manera inconsciente, revela las cookies tienen sus detractores.

preferencias de toda clase, indica qué asuntos le

interesan, qué gráficos le atraen o qué publicación prefiere. Estas huellas electrónicas
se aprovechan para:

 facilitar la navegación y hacerla más rápida

 presentar la publicidad de una determinada manera y hacer estudios de
mercado
 para ofrecer al cliente que se ha identificado servicios personalizados
adaptados a su navegación por la web
La Elaboración de Perfiles, se basa en la observación continuada del comportamiento
de los individuos, ya que lo que busca es estudiar las características de dicho
comportamiento a través de sus acciones para
- visitas repetidas a un sitio concreto
desarrollar un perfil específico y proporcionar así a - interacciones
- palabras clave
los usuarios publicidad a medida de los intereses
- producción de contenidos en línea,…
inferidos de su comportamiento.

Este procedimiento implica normalmente la recogida de direcciones IP y el tratamiento

de identificadores únicos (mediante las cookies). La utilización de dichos dispositivos
permite aislar a los usuarios, aun desconociéndose sus nombres verdaderos.

Asimismo, la información recogida se refiere a características o comportamiento de un

Individuo y se utiliza para influir directamente en él.

En este sentido, la normativa en protección de datos ha tenido que pronunciarse sobre

este tipo de tratamientos que, como hemos visto, pueden llegar a analizar una gran
cantidad de datos de los que el Interesado puede no ser consciente.

En consecuencia, el RGPD destaca la Elaboración de Perfiles automatizada como uno

de los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y
fines, pueden conllevar un riesgo para los derechos y libertades de las personas
físicas, poniendo énfasis en este tratamiento remarcándolo en todas las obligaciones
que establece, tal y como hemos ido viendo a lo largo de los módulos anteriores.

 Datos tratados por grupos de empresas.

RECORDEMOS:

GRUPO EMPRESARIAL = Grupo constituido por una empresa que

ejerce el control y controladas sus empresas.
EMPRESA = Persona física o jurídica dedicada a una actividad
económica independientemente de su forma jurídica, se entiende
también como empresa las asociaciones o sociedades.
NORMAS CORPORATIVAS VINCULANTES = Políticas de protección
de datos personales asumidas por un responsable o encargado del
tratamiento establecido en el territorio de un Estado miembro de la
Unión Europea para las transferencias o un conjunto de transferencias
de datos personales a un responsable o encargado del tratamiento en
uno o más países terceros, dentro de un grupo de empresas o grupo de
sociedades que participen en una actividad económica conjunta.
El RGPD, también introduce especificaciones en el caso de un tratamiento de datos
por un grupo empresarial, ya que los Responsables del Tratamiento que forman parte
de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener
un interés legítimo en transmitir datos personales dentro del grupo empresarial para
fines administrativos internos, incluido el tratamiento de datos personales de clientes o
empleados.

Todo grupo empresarial o unión de empresas dedicadas a una actividad económica

conjunta debe tener la posibilidad de invocar Normas Corporativas Vinculantes
autorizadas (como vimos en el módulo 2) para sus transferencias internacionales de la
Unión Europea a organizaciones dentro del mismo grupo empresarial o unión de
empresas dedicadas a una actividad económica conjunta, siempre que tales Normas
Corporativas incorporen todos los principios esenciales y derechos aplicables con el fin
de ofrecer garantías adecuadas para las transferencias o categorías de transferencias
de datos de carácter personal.

Asimismo, un grupo empresarial podrá nombrar un único delegado de protección de

datos siempre que sea fácilmente accesible desde cada establecimiento.

Cuando el tratamiento lo realice un grupo empresarial, el establecimiento principal de

la empresa que ejerce el control debe considerarse el establecimiento principal del
grupo empresarial, excepto cuando los fines y medios del tratamiento los determine
otra empresa.

 Datos de titularidad o interés público:

Hablamos de datos de titularidad o interés público en los casos de:

 tratamientos realizados por Autoridades u Organismos públicos en el

ejercicio de sus funciones
 tratamientos con finalidades de interés público fundamentados en la
legislación vigente
 tratamientos con finalidades de investigación histórica, estadística o
científica

En este sentido, el RGPD también diferencia este tipo de tratamientos, además,

transfiere la potestad a los Estados miembros para que adopten disposiciones
nacionales a fin de especificar en mayor grado la aplicación de las normas del
Reglamento General de Protección de Datos sobre este tipo de tratamientos.

Asimismo, debe determinarse también en virtud del Derecho de la Unión o de los

Estados miembros si el Responsable del Tratamiento que realiza una misión en interés
público o en el ejercicio de poderes públicos debe ser una autoridad pública u otra
persona física o jurídica de Derecho público, o, cuando se haga en interés público,
incluidos fines sanitarios como la salud pública, la protección social y la gestión de los
servicios de sanidad, de Derecho privado, como una asociación profesional.

A su vez, deben autorizarse excepciones a la prohibición de tratar categorías

especiales de datos personales cuando lo establezca el Derecho de la Unión o de los
Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger
datos personales y otros derechos fundamentales, cuando sea en interés público, en
particular

 el tratamiento de datos personales en el ámbito de la legislación laboral

 la legislación sobre protección social, incluidas las pensiones
 el tratamiento con fines de seguridad, supervisión y alerta sanitaria
 la prevención o control de enfermedades transmisibles y otras amenazas
graves para la salud

Esta excepción también se aplicará para

 tratamientos con fines en el ámbito de la salud, incluidas la sanidad pública

y la gestión de los servicios de asistencia sanitaria, especialmente con el
fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados
para resolver las reclamaciones de prestaciones y de servicios en el
régimen del seguro de enfermedad
 tratamientos con fines de archivo en interés público
 tratamientos con fines de investigación científica e histórica
 tratamientos con fines estadísticos

Asimismo y título excepcional, también deben aplicarse excepciones sobre el

tratamiento de dichos datos personales cuando sea necesario para la formulación, el
ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un
procedimiento administrativo o extrajudicial.
2. CATEGORÍAS ESPECIALES DE DATOS

El Artículo 9. 1 del RGPD indica que: “Quedan prohibidos el tratamiento de datos

personales que revelen el origen étnico o racial, las opiniones políticas, las
convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos
genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona
física, datos relativos a la salud o datos relativos a la vida sexual o las orientación
sexuales de una persona física.”

RECORDEMOS:

DATOS BIOMÉTRICOS = Cualesquiera datos personales

para el reconocimiento único de la persona basada en
uno y/o más rasgos obtenidos a partir de un tratamiento
técnico específico, relativos a las características físicas,
fisiológicas o conductuales de una persona que permitan
o confirmen la identificación única, como imágenes
faciales o datos dactiloscópicos.
DATOS GENÉTICOS = Datos personales relativos a las
características genéticas de una persona que hayan sido
heredadas o adquiridas y que proporcionen una
información única sobre la fisiología o la salud de esa
persona, obtenidos en particular del análisis de una
muestra biológica de la persona de la que se trate.
DATOS RELATIVOS A LA SALUD = Datos personales
de una persona relativos a la salud física o mental que
revelen información sobre su estado de salud, incluida la
prestación de servicios sanitarios.

En el apartado 2, el artículo 9 del RGPD ya matiza la prohibición del tratamiento de

categorías especiales de datos, indicando que dicha categoría de datos podrá ser
motivo de tratamiento siempre y cuando se den ciertas circunstancias:

 el Interesado ha dado su
El consentimiento explícito es cuando el
consentimiento explícito para el usuario debe decir explícitamente que sí o que
no, pero en cualquier caso debe realizar una
tratamiento de dichos datos personales acción.
(Ejemplo: "si deseas que te envíe información
comercial, marca esta casilla")
 con uno o más de los fines especificados (excepto cuando el Derecho de la
Unión o de los Estados miembros establezca que la prohibición de utilizar
dichos datos no puede ser levantada por el interesado

 el tratamiento es necesario para el cumplimiento de obligaciones y el

ejercicio de derechos específicos del Responsable del Tratamiento o del
Interesado en el ámbito del Derecho laboral y de la seguridad y protección
social

 el tratamiento es necesario para proteger intereses vitales del Interesado o

de otra persona física, en el supuesto de que el interesado no esté
capacitado, física o jurídicamente, para dar su consentimiento

 el tratamiento es efectuado legítimamente por una organización sin ánimo

de lucro con finalidad política, filosófica, religiosa o sindical con relación a
sus fines

 el tratamiento se refiere a datos personales que el Interesado ha hecho

manifiestamente públicos

 el tratamiento es necesario para la formulación, el ejercicio o la defensa de

reclamaciones o cuando los tribunales actúen en ejercicio de su función
judicial

 el tratamiento es necesario por razones de un interés público esencial,

sobre la base del Derecho de la Unión o de los Estados miembros, que
debe ser proporcional al objetivo perseguido, respetar en lo esencial el
derecho a la protección de datos y establecer medidas adecuadas y
específicas para proteger los intereses y derechos fundamentales del
interesado

 el tratamiento es necesario para fines de medicina preventiva o laboral,

evaluación de la capacidad laboral del trabajador, diagnóstico médico,
prestación de asistencia o tratamiento de tipo sanitario o social, o gestión
de los sistemas y servicios de asistencia sanitaria y social, sobre la base
 del Derecho de la Unión o de los Estados miembros o en virtud de un
contrato con un profesional sanitario

 el tratamiento es necesario por razones de interés público en el ámbito de

la salud pública, como la protección frente a amenazas transfronterizas
graves para la salud, o para garantizar elevados niveles de calidad y de
seguridad de la asistencia sanitaria y de los medicamentos o productos
sanitarios

 el tratamiento es necesario con fines de archivo en interés público, fines de

investigación científica o histórica o fines estadísticos, que debe ser
proporcional al objetivo perseguido, respetar en lo esencial el derecho a la
protección de datos y establecer medidas adecuadas y específicas para
proteger los intereses y derechos fundamentales del interesado

Asimismo, cuando la finalidad del tratamiento es necesario para fines de medicina

preventiva o laboral, solo podrá ser realizado por un profesional sujeto a la obligación
de secreto profesional, o bajo su responsabilidad, o por cualquier otra persona sujeta
también a la obligación de secreto.

TRATAMIENTO DE DATOS PERSONALES RELATIVOS A CONDENAS E

INFRACCIONES PENALES

El tratamiento de datos personales relativos a condenas e infracciones penales solo

podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo
autorice el Derecho de la Unión o de los Estados miembros que establezca garantías
adecuadas para los derechos y libertades de los interesados.

Solo podrá llevarse un registro completo de condenas penales bajo el control de las
autoridades públicas.

En este punto, cabe destacar la Directiva (UE) 2016/680 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales por parte de las autoridades
competentes para fines de prevención, investigación, detección o enjuiciamiento de
infracciones penales o de ejecución de sanciones penales, y a la libre circulación de
dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, en la
que se desarrolla más el tratamiento sobre dichos datos.

3. EVALUACIÓN DE IMPACTO

El Responsable o Encargado del Tratamiento deberá realizar, antes de iniciar el

tratamiento, una evaluación de impacto de las operaciones de tratamiento previstas en
la protección de datos, cuando sea probable que exista un alto riesgo para los
derechos y libertades de los Interesados.

Asimismo, una única evaluación de impacto podrá abordar una serie de operaciones
de tratamiento similares que entrañen altos riesgos similares.

Para realizar dicha evaluación, el Responsable del Tratamiento recurrirá al Delegado

de Protección de datos para que le asesore y le apoye durante dicho proceso.

La evaluación de impacto relativa a la protección de los datos será obligatoria en los

casos en los que:

 se utilicen nuevas tecnologías y su naturaleza, alcance, contexto o fines

del tratamiento prevean un alto riesgo

 se realicen evaluaciones sistemáticas y exhaustivas de aspectos

personales de personas físicas que se base en un tratamiento
automatizado, como por ejemplo la elaboración de perfiles, y sobre cuya
base se tomen decisiones que produzcan efectos jurídicos para las
personas físicas o que les afecten significativamente de modo similar

 se realice un tratamiento a gran escala de las categorías especiales de

datos o de los datos personales relativos a condenas e infracciones
penales

 se proceda a una observación sistemática a gran escala de una zona de

acceso público
Además de dichos tratamientos, la Autoridad de Control competente en cada Estado
miembro establecerá y publicará una lista de los tipos de operaciones de tratamiento
que también estarán obligadas a realizar una evaluación de impacto previo a los
tratamientos de datos, estas listas deberán ser comunicadas y aprobadas por el
Comité Europeo de Protección de Datos.

Para la elaboración de dichas listas, la Autoridad de Control competente deberá aplicar

el mecanismo de coherencia en los casos que estas listas incluyan actividades de
tratamiento que guarden relación con:

 la oferta de bienes o servicios a Interesados en varios Estados miembros

 la observación del comportamiento de Interesados en varios Estados

miembros

 actividades de tratamiento que puedan afectar sustancialmente a la libre

circulación de datos personales en la Unión Europea

Aun cuando la entidad no esté obligada por la normativa, el análisis de riesgo y la

evaluación de impacto sobre los tratamientos de datos que se van a realizar, siempre
será recomendable.

Esta evaluación de impacto sobre la protección de datos, deberá incluir como mínimo:

 una descripción sistemática de las operaciones de tratamiento previstas

 una descripción de los fines del tratamiento

 una descripción del interés legítimo perseguido por el responsable del

tratamiento

 una evaluación de la necesidad y la proporcionalidad de las operaciones

de tratamiento con respecto a su finalidad

 una evaluación de los riesgos para los derechos y libertades de los

interesados
  las medidas previstas para afrontar los riesgos:

 garantías de seguridad
 medidas de seguridad
 mecanismos que garanticen la protección de datos personales y a
demostrar la conformidad con el RGPD

A la hora de realizar le evaluación de impacto, también se tendrá en cuenta si los

Responsables o Encargados del Tratamiento han aprobado Códigos de Conducta.

RECORDEMOS:

CÓDIGO DE CONDUCTA = Documento

redactado voluntariamente por una empresa y/o
entidad en el que se exponen una serie de
principios que compromete unilateralmente a
seguir. En algunas ocasiones los códigos de
conducta afectan a las empresas proveedoras,
subcontratistas y terceristas.

El Responsable o Encargado de Tratamiento, pueden recabar la opinión de los

Interesados o de sus representantes en relación con el tratamiento previsto, sin
perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las
operaciones de tratamiento.

Cuando el tratamiento sea necesario para el cumplimiento de una obligación legal o

para el cumplimiento de una misión realizada en interés público o en el ejercicio de
poderes públicos conferidos al Responsable o Encargado del Tratamiento y tenga su
base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se
aplique al Responsable o Encargado del Tratamiento y a su vez, este Derecho regule
la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se
haya realizado una evaluación de impacto relativa a la protección de datos como parte
de una evaluación de impacto general en el contexto de la adopción de dicha base
jurídica, dichos Responsables o Encargados no estarán obligados a realizar este
análisis de riesgo.
En el caso que exista un cambio del riesgo en las operaciones del tratamiento, el
Responsable o Encargado deberá revisar la evaluación de impacto de dicho
tratamiento.

Asimismo, si la evaluación de impacto relativa a la protección de los datos muestre

que el tratamiento analizado entrañaría un alto riesgo si el Responsable no toma
medidas para para mitigarlo, este deberá consultar a la Autoridad de Control antes de
proceder al tratamiento.

A su vez, si la Autoridad de Control considera que el tratamiento previsto puede

infringir el Reglamento General de Protección de Datos, en particular cuando el
Responsable o Encargado del Tratamiento no haya identificado o mitigado
suficientemente el riesgo, deberá, en un plazo de ocho semanas desde la solicitud de
la consulta, asesorar por escrito al Responsable o al Encargado, y podrá proceder a:

 ordenar al Responsable o al Encargado del Tratamiento y, en su caso, a su

Representante que faciliten cualquier información para investigar sobre el
tratamiento analizado

 llevar a cabo investigaciones en forma de auditorías de protección de datos

 notificarles las presuntas infracciones al Reglamento que puede ocasionar

dicho tratamiento

 obtener del Responsable o del Encargado del Tratamiento el acceso a

todos los datos personales y a toda la información necesaria para su
investigación

 obtener el acceso a todos los locales del Responsable o del Encargado del
tratamiento

Asimismo, la Autoridad de Control podrá imponer una limitación temporal o definitiva

de dicho tratamiento, incluida su prohibición.

El plazo de 8 semanas podrá prorrogarse seis semanas más, en función de la

complejidad del tratamiento previsto. Esta prórroga deberá comunicarse al
Responsable o al encargado en un plazo de un mes a partir de la recepción de la
solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán
suspenderse hasta que la autoridad de control haya obtenido la información solicitada
a los fines de la consulta.

El Responsable o Encargado del tratamiento, en el momento de realizar la consulta a

la Autoridad de Control, deberá facilitarle la información siguiente:

 en el caso de corresponsabilidad, las responsabilidades respectivas del

responsable, los corresponsables y los encargados implicados en el
tratamiento, en particular en caso de tratamiento dentro de un grupo
empresarial

 los fines y medios del tratamiento previsto

 las medidas y garantías establecidas para proteger los derechos y

libertades de los interesados de conformidad con el RGPD

 los datos de contacto del delegado de protección de datos

 la evaluación de impacto relativa a la protección de datos

 cualquier otra información que solicite la Autoridad de Control

El Derecho de los Estados miembros podrá obligar a los responsables del tratamiento
a consultar a la Autoridad de Control y a recabar su autorización previa en relación con
el tratamiento por un Responsable del Tratamiento en el ejercicio de una misión
realizada en interés público, en particular el tratamiento en relación con la protección
social y la salud pública.

Cabe destacar que, aunque ni la LOPD ni su reglamento de desarrollo hacen

referencia a una evaluación de impacto, la Agencia Española de Protección de Datos,
ya en 2014, publicó una Guía para la realización de una Evaluación de Impacto de
Protección de Datos, estableciendo sus fases:
Fuente: Guía para una Evaluación de impacto en la protección de Datos personales,
Agencia Española de Protección de Datos 2014

Esta guía distingue dos grandes tipos de riesgos a los que se pueden
enfrentar los Responsables o Encargados del Tratamiento a la hora de realizar
una EIPD (evaluación de impacto de datos personales):

 El primer tipo es el que afecta directamente a las personas, para los

que una violación de dichos riesgos puede concretarse en una posible
violación de los derechos de las personas
 El segundo tipo es el que puede afectar a la imagen de la entidad que
ha desarrollado el producto o servicio, y de la cual se pueda derivar la
percepción de que no cuida la privacidad de los datos tratados
Una vez identificados los riesgos se deberá realizar una cuantificación de los
mismos en base a la probabilidad de que sucedan y el impacto que tendría su
materialización.

Asimismo, en la guía aparece un catálogo de riesgos que pueden servir con

base para la identificación de los mismos en el producto o servicio cuando se
vaya a realizar una EIPD:

- cuando se enriquezca la información existente sobre las personas

mediante la recogida de nuevas categorías de datos o se usen las
existentes con nuevas finalidades o en formas que antes no se usaban,
en particular, si los nuevos usos o finalidades son más intrusivos o
inesperados para los Interesados
- cuando se lleve a cabo un tratamiento significativo no incidental de
datos de menores o dirigido especialmente a tratar datos de estos, en
particular si tienen menos de catorce años
- cuando se vaya a llevar a cabo una elaboración de perfiles
- cuando se traten grandes volúmenes de datos personales a través de
tecnologías como la de datos masivos (Big data), internet de las cosas
(Internet of Things) o el desarrollo y la construcción de ciudades
inteligentes (smart cities).
- cuando se vayan a utilizar tecnologías que se consideran
especialmente invasivas con la privacidad como la videovigilancia a
gran escala, la utilización de aeronaves no tripuladas (drones), la
vigilancia electrónica, la minería de datos, la biometría,…
- cuando se cedan o comuniquen los datos personales a terceros y, en
particular, siempre que se pongan en marcha nuevas iniciativas que
supongan compartir datos personales con terceros que antes no tenían
acceso a ellos, ya sea entregándolos, recibiéndolos o poniéndolos en
común de cualquier forma
- cuando se vayan a transferir los datos a países que no forman parte
del Espacio Económico Europeo
- cuando se vayan a utilizar formas de contactar con las personas
afectadas que se podrían considerar especialmente intrusivas
- cuando se vayan a utilizar datos personales no disociados o no
anonimizados de forma irreversible con fines estadísticos, históricos o
de investigación científica
- cuando la recogida tenga como finalidad el tratamiento sistemático y
masivo de datos especialmente protegidos
La guía sugiere consultar con las partes afectadas tanto internas como
externas, con esto se pretende que se conozcan las preocupaciones de los
afectados, lo que permitirá identificar riesgos hasta ahora no detectados.

Otro punto que introduce la guía es el de la gestión de los riesgos,

proponiendo las opciones de evitar o eliminar el riesgo, mitigarlo, transferirlo o
aceptarlo.

A continuación la guía expone algunas medidas de seguridad para adoptar

para la gestión de dichos riesgos, un ejemplo sería:

- formación apropiada del personal sobre protección de datos

- comunicación auditable y clara de las responsabilidades del personal
en relación con el cumplimiento de las políticas de privacidad de la
organización
- nombrar un Delegado de Protección de Datos para ocuparse de todas
las cuestiones relativas a la privacidad dentro de la organización y
contar con asesoramiento cualificado
- usar datos disociados siempre que sea posible y no implique un
esfuerzo desproporcionado
- Permitir el uso anónimo de los servicios y productos cuando no sea
necesaria la identificación de las personas
- Utilizar pseudónimos o atribuir códigos de sustitución de los datos
identificativos que, aunque no consigan la disociación absoluta de los
mismos, sí que pueden contribuir a que la información sobre la
identidad de los afectados solo sea accesible a un número reducido de
personas
- Evitar el uso de datos biométricos salvo que resulte imprescindible o
esté absolutamente justificado

Además se hace hincapié en la importancia de la monitorización de las

medidas implantadas, comprobar si son efectivas para la mitigación del riesgo
y si cumplen el objetivo para el que fueron implantadas. En el caso de que
estas medidas no sean efectivas se deberán proponer otras para cumplir con
el objetivo perseguido.

Por último, la guía hace referencia al cumplimiento normativo, no sólo dentro

del ámbito de protección de datos sino de cualquier otra normativa que le sea
de aplicación y que tengan aspectos relacionados con la privacidad.
4. SEGURIDAD DEL TRATAMIENTO

Como hemos ido viendo en los módulos anteriores, teniendo en cuenta el estado de la
técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del
tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos
y libertades de las personas físicas, el Responsable y el Encargado del Tratamiento
deberán tomar las medidas técnicas y organizativas apropiadas para garantizar un
nivel de seguridad adecuado al riesgo (el cual se habrá establecido mediante la
Evaluación de Impacto).

Estas medidas de seguridad deberán incluir como mínimo:

 la seudonimización y el cifrado de datos personales

 la capacidad de garantizar la confidencialidad, integridad, disponibilidad y

resiliencia permanentes de los sistemas y servicios de tratamiento

 la capacidad de restaurar la disponibilidad y el acceso a los datos

personales de forma rápida en caso de incidente físico o técnico

 un proceso de verificación, evaluación y valoración regulares de la eficacia

de las medidas técnicas y organizativas para garantizar la seguridad del
tratamiento

Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta

los riesgos que presente el tratamiento de datos, en particular como consecuencia de
la destrucción, pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no
autorizados a dichos datos.

La adhesión a un Código de Conducta o a un mecanismo de podrá servir de elemento

para demostrar el cumplimiento de estos.

El Responsable y el Encargado del Tratamiento tomarán medidas para garantizar que

cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo
pueda tratar dichos datos siguiendo sus instrucciones, salvo que esté obligada a ello
en virtud del Derecho de la Unión o de los Estados miembros.
5. VIOLACIONES DE SEGURIDAD DE LOS DATOS (BRECHAS DE SEGURIDAD

Un incidente de pérdida de datos o brecha de

seguridad es la pérdida intencionada o no Un ejemplo podría ser el caso de la de

intencionada de información protegida, Sony y su red de Play Station, en la

generalmente conteniendo datos de carácter que se descubrieron datos de 77

personal, y su revelación a terceros que no deben millones de usuarios.

tener acceso legítimo a dichos datos.

Las causas de las violaciones de seguridad de los datos son muy variadas: desde el
hacking o piratería informática, el uso de malware, la ingeniería social, o el abuso de
los privilegios de accesos a las bases de datos.

Hasta la aprobación del RGPD, cuando una empresa sufría una violación de
datos en España, no existía ninguna obligación de comunicación del incidente.
Quedaba a criterio de la entidad y de su política de comunicación, por lo que si
la entidad que había sufrido la brecha de seguridad consideraba que dar
publicidad a este hecho podría afectar negativamente a sus relaciones de
confianza con sus clientes, optaría por no notificarla.

El Reglamento General de Protección de Datos obliga a que, en el caso de sufrir una

violación de la seguridad de los datos personales, el Responsable del tratamiento la
notificará a la Autoridad de Control sin dilación indebida y, de ser posible, a más tardar
72 horas después de que haya tenido constancia de ella, a menos que sea improbable
que dicha violación de la seguridad constituya un riesgo para los derechos y las
libertades de las personas físicas.

En el caso que la notificación a la autoridad de control no tenga lugar en el plazo de 72

horas, deberá ir acompañada de una indicación de los motivos de la dilación.

A su vez, si es el Encargado del Tratamiento el que ha sufrido una brecha de

seguridad, deberá notificarla sin dilación indebida al Responsable del Tratamiento.

La notificación de una violación de la seguridad de los datos, deberá como mínimo:

 describir:
  la naturaleza de la violación de la seguridad de los datos personales
 las categorías y el número aproximado de interesados afectados
 las categorías y el número aproximado de registros de datos personales
afectados

 comunicar el nombre y los datos de contacto del Delegado de Protección

de Datos o de otro punto de contacto en el que pueda obtenerse más
información

 describir las posibles consecuencias de la violación de la seguridad de los

datos personales

 describir las medidas adoptadas o propuestas por el Responsable del

Tratamiento para poner remedio a la violación de la seguridad de los datos
personales, incluyendo, si procede, las medidas adoptadas para mitigar los
posibles efectos negativos

Asimismo, el Responsable del Tratamiento documentará cualquier violación de la

seguridad de los datos personales, incluidos los hechos relacionados con ella, sus
efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la
autoridad de control verificar el cumplimiento de lo dispuesto en el RGPD.

Además, cuando sea probable que la violación de la seguridad de los datos

personales entrañe un alto riesgo para los derechos y libertades de las personas
físicas, el Responsable del Tratamiento la deberá comunicar al interesado sin dilación
indebida.

Esta comunicación al Interesado, deberá describir en un lenguaje claro y sencillo la

naturaleza de la violación de la seguridad de los datos personales y contendrá como
mínimo esta información:

 el nombre y los datos de contacto del Delegado de Protección de Datos o

de otro punto de contacto en el que pueda obtenerse más información

 describirá las posibles consecuencias de la violación de la seguridad de los

datos personales
  describirá las medidas adoptadas o propuestas por el Responsable del
Tratamiento para poner remedio a la violación de la seguridad de los datos
personales, incluyendo, si procede, las medidas adoptadas para mitigar los
posibles efectos negativos

Esta comunicación al Interesado no será necesaria si se cumple alguna de las

condiciones siguientes:

 el Responsable del Tratamiento ha

El cifrado de datos es el proceso por el que una
adoptado medidas de protección información legible se transforma mediante un
algoritmo (llamado cifra) en información ilegible,
técnicas y organizativas apropiadas y
llamada criptograma o secreto. Esta información
estas medidas se han aplicado a los ilegible se puede enviar a un destinatario con
muchos menos riesgos de ser leída por terceras
datos personales afectados por la
partes.
violación de la seguridad de los datos
personales, en particular aquellas que
hagan ininteligibles los datos personales para cualquier persona que no
esté autorizada a acceder a ellos, como el cifrado de los mismos

 el Responsable del Tratamiento ha tomado medidas posteriores que

garanticen que ya no exista la probabilidad de que se concretice el alto
riesgo para los derechos y libertades del interesado

 suponga un esfuerzo desproporcionado: en este caso, se optará en su

lugar por una comunicación pública o una medida semejante por la que se
informe de manera igualmente efectiva a los Interesados

En el caso que el Responsable del Tratamiento, todavía no haya comunicado al

Interesado la violación de la seguridad de los datos personales, la autoridad de control,
una vez considerada la probabilidad de que tal violación entraña un alto riesgo, podrá
exigirle que lo haga.

6. OBLIGACIONES DE SECRETO

El secreto profesional es la obligación legal que tienen ciertas profesiones de

mantener en secreto la información que han recibido de sus clientes. Al contrario de lo
que ocurre con tipos de deberes de Entre estos profesionales, cabe citar como casos
más típicos el abogado, el médico, el enfermero,
confidencialidad, el secreto profesional se
el psicólogo, el periodista el trabajador social. Sin
mantiene incluso en un juicio. embargo, también puede haber otros casos de
asesores o servicios que tengan ese tipo de
obligación, por ejemplo los asesores fiscales (a
Desvelar un secreto profesional se considera
veces incluidos dentro de los abogados) o las
en el Código Penal como un delito: compañías de seguros.

El profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue

los secretos de otra persona, será castigado con la pena de prisión de uno a cuatro
años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión
por tiempo de dos a seis años.

En este sentido, el RGPD, confiere poder a los Estados miembros para que adopten
normas específicas para fijar los poderes de las Autoridades de Control en relación
con los Responsables o Encargados del Tratamiento sujetos, con arreglo al Derecho
de la Unión Europea o de los Estados miembros o a las normas establecidas por los
organismos nacionales competentes, a una obligación de secreto profesional o a otras
obligaciones de secreto equivalentes, cuando sea necesario y proporcionado para
conciliar el derecho a la protección de los datos personales con la obligación de
secreto.

Esas normas solo se aplicarán a los datos personales que el Responsable o el

Encargado del Tratamiento hayan recibido como resultado o con ocasión de una
actividad cubierta por la citada obligación de secreto.

La LOPD ya establecía en su artículo 10 el deber de secreto:

El responsable del fichero y quienes intervengan en cualquier fase del

tratamiento de los datos de carácter personal están obligados al secreto
profesional respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirán aun después de finalizar sus relaciones con el titular del fichero o,
en su caso, con el responsable del mismo.