Documentos de Académico
Documentos de Profesional
Documentos de Cultura
¿Qué es la protección de
datos personales?
Autor
Miguel Recio
2019
La Dirección de Educación Continua de la Pontificia Universidad Javeriana no se hace responsable por el manejo que se le dé a la
presente información. La misma no representa una asesoría jurídica en la materia, tiene una intención reflexiva y académica.
1
¡Inmersión!
Por su parte, ha sido en la Unión Europea donde, a partir del Convenio 108 del
Consejo de Europa, se ha desarrollado de manera relevante una aproximación de
regulación que ha pasado de la Directiva 95/46/CE, adoptada en el momento de
desarrollo incipiente de Internet, al RGPD en el que se producen rápidos cambios
tecnológicos y otros que son fundamentales para el desarrollo de la economía
y sociedad digitales. Además, en el caso de la Unión Europea, se ha producido
también una evolución que, con el RGPD, ha supuesto pasar a un nuevo modelo
europeo de privacidad.
Al mismo tiempo, en otras latitudes alrededor del planeta como América Latina,
África y Asia-Pacífico (APEC) se han ido adoptando leyes sobre protección de datos
o privacidad durante los últimos años. Es así que, conforme a los datos de Naciones
Unidas2, un total de 107 países alrededor del mundo, lo que supone el 58%,
cuentan ya con legislación sobre protección de datos o privacidad. Además, un 10%
de los países cuenta con borradores de legislación y en otro 21% no hay legislación
en la materia.
1. Instrumentos internacionales
¡Inmersión!
En particular, ha sido en los últimos años cuando en varios países de América Latina
se han adoptado leyes en materia de protección de datos personales. En otros
casos, las leyes sobre protección de datos son adoptadas actualmente o podrían
serlo en los próximos años.
Una cuestión importante a tener en cuenta es que muchas de estas leyes son
postdigitales. No obstante, otras leyes o regulaciones aplicables a la tecnología y
a los servicios digitales son pre-digitales, lo que en ocasiones puede dar lugar a
dudas sobre su interpretación pues requieren prestar atención a la necesidad de
una aplicación adecuada, considerando los avances que se producen en todos los
ámbitos, social, económico, tecnológico, etc.
Que este instrumento sea vinculante implica que los Estados que lo ratifican tienen
que adoptar medidas y garantías en materia de protección de datos personales y
mantenerlas. A mediados de 2019, un total de 54 países alrededor del mundo eran
Estados parte del Convenio, en su mayoría miembros del Consejo de Europa. A
los anteriores hay que sumar otros 14 países que son observadores. Al Convenio
pueden acceder, mediante invitación, otros países que tengan legislación sobre
protección de datos.
En este caso, debe tenerse también en cuenta que, en los años 1970, el Comité de
Ministros del Consejo de Europa aprobó dos Resoluciones relevantes en materia de
protección de datos personales. La primera es la Resolución R (73) 22, relativa a la
protección de la vida privada de las personas físicas respecto de los bancos de datos
electrónicos en el sector privado, y la segunda, la Resolución R (74) 29, relativa a la
protección de la vida privada de las personas físicas respecto a los bancos de datos
electrónicos en el sector público. Ambas resoluciones contienen, respectivamente
en su ámbito de aplicación público (gobierno o Administraciones Públicas) o privado
(empresas), los principios relativos a la protección de datos personales.
Una niña de cinco años está en el parque con su juguete nuevo. Imaginen a
la niña jugando con el muñeco y evitando que otros niños lo cojan -bueno, no
siempre es el caso-. La niña controla el juguete porque es suyo y evita que
otros puedan interactuar con él.
¿Es esto mismo es lo que ocurre en el caso de los datos personales? ¿El nombre
(nombre y apellidos), por ser de la persona, solo le pertenece a ella y nadie puede
usarlo? Es decir, con carácter general, si la persona no autoriza a un tercero, de
antemano, que se puede dirigir a ella por su nombre, ¿entonces esa persona tiene
que tratar de manera impersonal o, por lo menos, sin usar elsu nombre?
¿Es el nombre igual a la dirección postal? ¿Si no autoriza que alguien tome una foto
de la placa de la dirección de su casa, no puede esa persona hacerlo solo porque
ella vive ahí y es su dirección postal?
Los datos sobre una persona, o que los identifican, existen tal vez por el simple
hecho de que esta persona interactúa con el mundo y no está confinada a un
recinto privado y cerrado, aislado de ese entorno exterior. Aún en este caso,
habría datos de la persona o sobre ella que la identificarían, solo que terceros no
los conocerían porque no podrían verla ni interactuar con ella. El asunto sobre
qué es un dato personal de una persona es fundamental para pensar en cuál es
el marco regulatorio que mejor permitirá que los datos se usen para realizar esa
faceta externa de interacción del individuo con el mundo, asegurando la adecuada
protección de sus intereses dado el avance de las formas mismas de socialización,
comunicación, observación, relacionamiento e interacción.
1. ¿Cuál es la forma más clara de pensar en qué son los datos respecto del
interesado, es decir, la persona física a la que se refieren?
2. ¿Qué hace entonces que una información sea considerada dato o información
personal?
3. ¿Se trata de propiedad sobre el dato? ¿Realmente?
4. ¿Hasta dónde alcanza el ejercicio de los derechos sobre los datos personales?
5. ¿Están sujetos estos derechos a requisitos y límites?
Los derechos del interesado son sobre cómo se tratan los datos personales relativos
a la persona física a la que se refieren. La finalidad es evitar un mal uso de los
datos personales o que no se cumplan los principios previstos en la Ley sobre
protección de datos.
En este caso, se darían dos tratamientos de datos personales que son necesarios
para que María pueda navegar en Internet y hacer sus compras:
Como se ha visto, para que el tratamiento de los datos personales sea legal, se
tiene que cumplir con unos principios. En particular, estos principios son:
2. Exactitud: los datos personales tienen que ser exactos y pertinentes, es decir,
adecuados en atención al fin del tratamiento, garantizando que se mantengan de la
forma más completa posible.
1. Seguridad: los archivos de datos personales deben ser protegidos tanto contra
peligros naturales, la pérdida o destrucción accidental; humanos, el acceso no
autorizado, el uso fraudulento de los datos o la contaminación mediante virus
informáticos.
2. Calidad de los datos: los datos personales deberán ser relevantes para el fin de
su uso, así como exactos, completos y actuales para dicho fin.
Las normas o los estándares con diverso alcance, tales como las normas
ISO (Organización Internacional de Normalización). Algunas de estas normas o
estándares son:
Los contratos, tales como los Acuerdos de Nivel de Servicio (en inglés, Service
Level Agreement, SLA), en los que se incluyen cláusulas, anexos u otras previsiones
sobre la seguridad de la información cuando, por ejemplo, un proveedor de
servicios de nube presta un servicio a un cliente que implica el tratamiento de datos
personales y se establece la necesidad de que aquél aplique medidas técnicas y
organizativas de seguridad.
4 ISO/IEC 27701:2019 Security techniques -- Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management --
Requirements and guidelines. Publicada en Agosto de 2019. Consultada, en inglés, en https://www.iso.org/standard/71670.html
En la era digital, la seguridad de la información ha dado paso a la ciberseguridad.
Esta puede aplicarse, en particular, a los servicios digitales, en el sentido de que el
proveedor adopte, aplique y mantenga, mejorando según sea necesario, medidas
técnicas y organizativas adecuadas. También al comercio electrónico, la realización
de transacciones con las administraciones públicas, con la finalidad de proteger
los datos personales del usuario o consumidor cuando son tratados, ya sea para
el registro en un sitio web, el tratamiento en la base de datos del proveedor o su
destrucción cuando ya no sean necesarios.
(Footnotes)
1 Guidelines on the Protection of Privacy and Transborder Flows of Personal Data.
15