Apuntes del MOOC

Nociones fundamentales sobre protección de datos personales

¿Qué es la protección de datos personales?

Evolución tecnológica. Conceptos básicos y elementos esenciales en materia de

protección de datos

Protección de datos personales en la era digital

 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Algunos mitos sobre protección de datos

Cualquier información es un dato personal ...

Los datos personales sólo se pueden tratar con el consentimiento ...
Otras bases de legitimación del tratamiento son excepciones al consentimiento ...
La Ley sobre protección de datos siempre es aplicable ...
El derecho a la protección de datos aplica siempre (es absoluto o ilimitado) …
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Desmitificación mitos sobre protección de datos...

No, que una información sea dato personal depende de varios factores, debiendo prestar especial atención al
contexto y a que identifique a una persona física.
No, el consentimiento no siempre es necesario para poder tratar datos personales.
No, el consentimiento es una más de las bases de legitimación que permiten tratar los datos personales.
No, hay excepciones a la aplicación de la Ley.
No, se aplica considerando también otros derechos (libertad de expresión, transparencia y acceso a la
información, etc.).
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Alguna notas importantes que definen el derecho a la protección de datos.

El derecho a la protección de datos no es un derecho absoluto o ilimitado.

Existen límites a este derecho con la finalidad de proteger también otros derechos (libertad de expresión,
propiedad intelectual, salud pública, etc.).

Una información no siempre es un dato personal. Por sí sola, puede resultar intrascendente o no ser un dato
personal.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

El tratamiento de tatos personales no es algo nuevo

Desde la antigüedad se han tratado datos personales para diversos fines (elaboración de censos de habitantes,
recaudación de impuestos, etc.).

Los datos personales siempre han sido necesarios para, entre otros fines, poder asignar recursos, otorgar
créditos, proteger a los consumidores frente al fraude, gestionar el cobro de deudas, etc.).
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

¿Qué es un dato personal?

Por dato personal (o dato de carácter personal o información personal, pudiendo considerarlos como sinónimos) se
entiende toda o cualquier información relativa o concerniente a una persona física o natural que esté identificada o
pueda ser, razonablemente, identificada.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Datos personales (datos de carácter personal)

Cualquier o toda información
Las definiciones normativas de datos
personales se refieren a cualquier o
toda información, de cualquier tipo,
lo que implica que se trate de un
concepto muy amplio. Podrían ser
datos tales como el nombre
completo, la dirección IP, el número
del pasaporte, etc.
Relativa o concerniente
Que sea “relativa a” o “sobre” quien
es el titular de los datos personales
determinar que deba existir un
vínculo o nexo.
Una persona fisica
La información se refiere a una
persona física, lo que supone que
queden excluidas del ámbito de
aplicación a las personas morales o
jurídicas.
Identidicado o identificable
Identificadores directos como, por
ejemplo, nombre y apellidos, imagen
de la persona, e indirectos, tales
como datos de localización, etc.
Además, debe tenerse en cuenta el
uso de medios razonables.

Una aplicación ilimitada o sin considerar el contexto de un concepto amplio de protección de datos podría dar lugar a situaciones en las que la normativa sea aplicable
a casos no previstos o incluso no pretendidos, con las implicaciones que puede tener. Debe tenerse en cuenta que, actualmente, las leyes de protección de datos se
basan en este concepto para determinar cuándo son aplicables.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Persona física viva.

● Excluye:
Dato personal - Personas jurídicas o
morales
Exacta o inexacta,
completa o no, objetiva - Personas fallecidas.
o subjetiva, etc - Datos anonimizados.
- Otras (robots, etc.).

Informción sobre una persona fisica identificada o identificable

- Sin lugar a dudas (obvia o claramente)

sobre una persona física. La identidad puede determinarse, directa o
Contenido - Vinculada con una persona física. indirectamente, mediante un identificador.
- Tiene como foco a una persona física.

Es usada, o probablemente usada, para

Finalidad aprender, evaluar o tratar de alguna manera,
tomar una decisión sobre o influir el estado o
comportamiento de una persona física.

Inpacto El tratamiento tiene un impacto o el potencial

de impactar sobre una persona física.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Información “sobre” una persona física (I)

1 Sobre una persona física

Para ser dato personal tiene que referirse a una
persona física identificable.

2 Referirse a (“relate to”)

Para ser dato personal tiene que referirse a una persona
física identifiEs más que simplemente identificar, tiene
que referirse o afectar a la persona física de alguna
manera. cable.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Información “sobre” una persona física (II)

1
Sobre una
Contenido depersona fisica
la información 3 Impacto en la persona física
¿El contenido de la información es Los resultados de o efectos del
directamente sobre la persona física o sus tratamiento de los datos para la persona
actividades? física.

2 Finalidad del tratamiento 4 Referidos a pero no relacionados con

¿Cuál es la finalidad o finalidades del Contienen referencias a o están vinculados a una
tratamiento? ¿Para qué se tratan los datos? persona física, pero se refieren por completo a otra
cuestión.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Definición normativa de datos personales (I)

Datos personales Datos de carácter personal Dato personal Datos personales

Información de cualquier tipo referida
a personas físicas o de existencia
ideal determinadas o determinables
(art. 2 de la Ley 25.326).
Los relativos a cualquier información
concerniente a personas naturales,
identificadas o identificables (art. 2.f
de la Ley 19628).
Cualquier información vinculada o
que pueda asociarse a una o varias
personas naturales determinadas o
determinables (art. 3.c de la Ley
1581).
Cualquier dato relativo a una persona
física identificada o identificable (art.
3.b de la Ley Nº 8.968).

Las definiciones se centran en la “identificación” más que en la “identidad” de la persona física o natural. Es decir, una información será considerada como dato
personal aunque no identifique por sí misma a la persona pero lo haga cuando sea combinada con otra información, siempre que la identificación sea razonable.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Definición normativa de datos personales (II)

Datos personales Datos personal Datos personales Dato personal

Cualquier información concerniente a
una persona física identificada o
identificable (art. 3 fracción V de la
LFPDPPP).
Cualquier información concerniente a
personas naturales, que las identifica
o hace identificable (art. 4.9 de la
Ley 81 de 2019).
Toda información sobre una persona
natural que la identifica o la hace
identificable a través de medios que
pueden ser razonablemente
utilizados (art. 2.4 de la Ley Nº
29.733).
Información de cualquier tipo referida
a personas físicas o jurídicas
determinadas o determinables (art.
4.d de la Ley Nº 18.331).

Las definiciones se centran en la “identificación” más que en la “identidad” de la persona física o natural. Es decir, una información será considerada como dato
personal aunque no identifique por sí misma a la persona pero lo haga cuando sea combinada con otra información, siempre que la identificación sea razonable.

Ejemplos de datos personales
Nombre, apellidos, fecha de
nacimiento, nacionalidad, número de
teléfono, número del pasaporte,
CURP, imagen, dirección postal,
número de la cuenta bancaria,
número de empleado, salario, etc.
Datos relativos a la salud física o
mental de la persona física, tales
como alergias, enfermedades,
psicopatía, etc.
Unidad 1
Nociones fundamentales sobre
protección de datos personales
Número de tarjeta de crédito o de
débito, transacciones realizadas,
saldo en la cuenta bancaria, nombre
de usuario de banca electrónica, etc.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Datos y ámbito de aplicación de las leyes sobre protección de datos

No contiene
información
sobre una
persona física
Contiene
información
sobre una
En su caso, será aplicable otra Determina la aplicación de la
normativa, pero queda excluida Dato persona física
identificada o normativa sobre protección de
Datos
del ámbito de aplicación de la identificable datos cuando se den los
anonimizadosa
normativa sobre protección de requisitos correspondientes
datos

Datos de
personas
jurídicas o
morales
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

¿Por qué es importante identificar si se tratan datos personales?

Es esencial para poder determinar si la normativa sobre protección de datos personales es aplicable.

Es la base para poder evaluar qué medidas habría que adoptar para protegerlos, garantizando así su integridad,
confidencialidad y disponibilidad.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Prueba para determinar la existencia de datos personales

(test de dos pasos acumulativos)

1 Si la información es sobre una 2 Si la información permite

persona física identificar a la persona física

Información que identifica o hace identificable a la Permite, razonablemente, identificar a la persona.

persona física. Si para identificar a la persona son necesarios
Información que se refiere o es relativa a la medios o recursos desproporcionados (tiempo,
persona física. tecnología, etc.) no será considerado dato
Una persona física viva. personal.
Mayor o menor de edad. Debe permitir individualizar (identificar de manera
Con independencia de si es nacional o extranjero. unívoca) a la persona física.

Necesidad de considerar el contexto específico en el que se produce el tratamiento.

Una aplicación ilimitada o sin considerar el contexto de un concepto amplio de protección de datos podría dar lugar a situaciones en las que la normativa sea aplicable
a casos no previstos o incluso no pretendidos, con las implicaciones que puede tener. Debe tenerse en cuenta que, actualmente, las leyes de protección de datos se
basan en este concepto para determinar cuándo son aplicables.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Probabilidad de identificación

Identificar: distinguir a la persona de otras personas.

Persona física “identificada” o “identificable”; puede ser:
Identificada o es identificable directamente a partir de la información en cuestión.
Indirectamente identificada a partir de dicha información en combinación con otra
información.
El nombre y apellido suele ser el identificador más frecuente.
Que un identificador realmente identifique a una persona física depende del contexto.
Ejemplo:
Miguel Recio, por sí mismo, no es un dato personal porque hay varias personas que
tienen ese nombre y apellido.
Miguel Recio, profesor de protección de datos personales (junto con otra información
adicional), identifica a una persona física combinando el nombre y otra información
adicional relativa a dicha persona física.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Identificabilidad en el entorno electrónico

Considerando que actualmente hay más cosas que personas conectadas a Internet,
que el concepto de dato personal depende de varios factores y que no hay una
relación cara a cara, es necesario tener en cuenta que la identificabilidad de la
persona en el entorno electrónico puede ser muy compleja en muchas ocasiones.

Uso de conexión a Internet o computadoras en cibercafés, anonimizadores, etc.,

pueden dificultar identificar al usuario de Internet u otros servicios relacionados con
Internet, por lo que puede ser muy complejo identificar a quién es la persona física a
la que se refiere una información.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Dato personal y no personal, al mismo tiempo

Es posible que una misma información sea dato personal para una finalidad, pero no
cuando se trata con otra finalidad. En algunos casos, una organización puede tratar una
información sin que se utilizada para identificar a la personal. mientras que otra
organización puede tratar esa misma información como datos personales.

Ejemplo: Una empresa mantiene una lista de direcciones IP, sin más información, para
poder identificar de dónde proviene un ciberataque cuando se produzca, por lo que no
sería un tratamiento de datos personales.
Por el contrario, el área de RR.HH. tiene el listado de direcciones IP y de empleados a
las que han sido asignadas para poder saber quién hace uso de Internet u otros
servicios (correo electrónico, etc.) para fines que no son corporativos. El primer caso
no supone un tratamiento de datos personales porque no se identifica a la persona
física, pero el segundo sí.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Identificadores
Anonimización Identificadores directos como, por
ejemplo, nombre y apellidos, imagen de
la persona, e indirectos, tales como
datos de localización, etc.

Riesgo de re-identificación de la
Definición persona física a través de técnicas o
La aplicación de medidas de cualquier de la combinación de datos que
naturaleza dirigidas a impedir la permiten derivar o inferir datos
identificación o re-identificación de una personales a partir de conjuntos de
persona física sin esfuerzos datos que incluso no incluían
desproporcionados (2.1.a Estándares de la identificadores personales
RIPD). identificar a la persona

Compromisos y medidas
Seudonimización vs. anonimización
Compromisos de no re-identificar los datos
Seudonimizar significa suprimir o cambiar identificadores personales y medidas técnicas para asegurar
directos, de manera que todavía es posible identificar a la que no se re-identifique a la persona física.
persona física. Anonimizar implica suprimir todos los
identificadores únicos que permiten identificar a la persona
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Responsable, encargado y otras figuras

01 Responsable del tratamiento Decide sobre los fines y medios del tratamiento.

02 Encargado del tratamiento

Trata datos personales en nombre del responsable
del tratamiento.

03 Otras figuras posibles

Corresponsable del tratamiento (objetivo o fines comunes)
Responsable independiente (destinatario).
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Responsable, corresponsable y encargado

Responsable del Corresponsables Encargado del

tratamiento tratamiento

● Decide, porque ejerce un ● Son corresponsables cuando ● Puede tomar decisiones

control general, sobre los fines deciden conjuntamente sobre técnicas sobre cómo tratar los
y medios del tratamiento de los fines y medios del datos personales.
los datos. tratamiento de los mismos
datos personales.

● No son corresponsables
cuando tratan los datos
personales para finalidades
diferentes.

En el entorno electrónico hay casos en los que es muy complicado poder determinar si una persona es responsable del tratamiento como, por ejemplo, en blockchain.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Responsable y encargado del tratamiento

Responsable del tratamiento Encargado del tratamiento

Decide sobre el tratamiento (fines y Trata los datos personales en nombre de o por
medios del tratamiento) de los datos cuenta del y siguiendo las instrucciones del
personales. responsable.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Encargado del tratamiento

¿Encargado
Decisión sobre del
el tratamiento tratamiento u
Instrucciones
otra figura?
No se tiene una del responsable
finalidad propia, Determinar qué
sin perjuicio de No se ejerce
obligaciones
que puedan control sobre el
tienen que
tomarse procesamiento de
cumplir quienes
decisiones los datos
participan en el
técnicas sobre personales.
procesamiento
cómo procesan de los datos
los datos. personales.

¿Qué decide el responsable del tratamiento?
Datos personales
Cuáles son los datos
personales se procesan o
tratan ( finalidad(es)?.
Unidad 1
Nociones fundamentales sobre
protección de datos personales
Finalidad(es) del
tratamiento
Medios del tratamiento
Con qué finalidad(es) se
Si procesa los datos por sí
procesan los datos
mismo o si recurre a un
personales..
encargado del
tratamiento, el plazo de
conservación de los datos,
etc.
El encargado puede tomar
decisiones técnicas sobre
cómo tratar los datos
personales.
 Unidad 1
Nociones fundamentales sobre
protección de datos personales

Servicios digitales que, para su funcionalidad, procesan datos personales con

finalidades propias del encargado y su tecnología (“decisión técnica”).

Finalidades propias que son necesarias y fundamentales para la el funcionamiento y

operación del servicio.

Es necesario evitar la sobresimplificación porque si el encargado es considerado como

corresponsable existe riesgo de desincentivar la innovación tecnológica y la oferta de
servicios digitales. El responsable ejerce un control general, pero no un control
absoluto sobre los fines y medios del tratamiento.

Deben considerarse las dinámicas y el funcionamiento del mundo digital ya que en

ocasiones considerar a una organización como encargado del tratamiento o
corresponsable puede ser cuestionado.