Módulo 2

¿Qué es la protección de
datos personales?

Autor
Miguel Recio
2019

La Dirección de Educación Continua de la Pontificia Universidad Javeriana no se hace responsable por el manejo que se le dé a la
presente información. La misma no representa una asesoría jurídica en la materia, tiene una intención reflexiva y académica.
 1

Evolución de la protección de datos personales y privacidad

Temas para meditar

¿Cuándo podemos decir que surgió la privacidad? ¿Cuál ha sido su evolución?

¿Cómo se ha desarrollado el derecho a la protección de datos a nivel internacional?

¡Inmersión!

El término privacidad, traducción del inglés privacy, ha evolucionado durante

siglos y puede ser considerado también como el precedente de la protección de
datos personales ya que ambos coinciden en proteger a la persona física frente a
injerencias de terceros.

La tecnología, como instrumento para el desarrollo y al mismo tiempo resultado de

la innovación, ha ampliado durante siglos el concepto de los derechos de privacidad
y lo ha expandido también al ámbito electrónico. Por ejemplo, el sistema postal
nacional establecido en Estados Unidos en 1775 dio lugar a que, años más tarde,
se adoptara una normativa en materia de privacidad. La invención de las cámaras
fotográficas, que permitían hacer imágenes que podían ser publicadas en la prensa,
invadiendo así la vida privada y doméstica, dio lugar a que los autores Warren y
Brandeis publicaran en 1890 el artículo The Right to Privacy1, que es considerado
como el inicio del derecho a la privacidad moderno.

Fundamentalmente, durante el siglo pasado se produjo un relevante

desarrollo normativo en varios ámbitos, tales como el financiero, sanitario, de
telecomunicaciones, etc., en los que se adoptaron leyes sobre privacidad. Estas
leyes, en muchos casos, fueron también consecuencia de diversas sentencias, por lo
que la jurisprudencia ha tenido y tiene también un papel importante en la evolución
del derecho a la privacidad.

En cualquier caso, el enfoque estadounidense se caracteriza por la autorregulación

de manera que la adopción de leyes sobre privacidad, en el caso del sector privado,
se produce cuando el legislador considera que son necesarias estas medidas,
evitando así cualquier forma de intervención en la prestación de servicios por las
empresas y en la innovación.

A lo largo de los últimos años se han presentado algunas propuestas con la

finalidad de adoptar medidas sobre la privacidad en la era digital, tales como
el plan de acción para el denominado Consumer Privacy Bill of Rights (2012)
para proteger a los consumidores online. En 2018, la Secretaría de Comercio de
Estados Unidos, a través de la Administración Nacional de Telecomunicaciones
e Información (en inglés, National Telecommunications and Information
Administration, NTIA) inició una consulta pública dirigida a adoptar medidas a 2
nivel federal en materia de privacidad.

Por su parte, ha sido en la Unión Europea donde, a partir del Convenio 108 del
Consejo de Europa, se ha desarrollado de manera relevante una aproximación de
regulación que ha pasado de la Directiva 95/46/CE, adoptada en el momento de
desarrollo incipiente de Internet, al RGPD en el que se producen rápidos cambios
tecnológicos y otros que son fundamentales para el desarrollo de la economía
y sociedad digitales. Además, en el caso de la Unión Europea, se ha producido
también una evolución que, con el RGPD, ha supuesto pasar a un nuevo modelo
europeo de privacidad.

De la misma manera que en Estados Unidos, la jurisprudencia del Tribunal

de Justicia de la Unión Europea (TJUE), ha sido relevante pues desarrolla la
interpretación de la derogada Directiva 95/46/CE y ahora de cuestiones que son
parte del articulado del RGPD. Desde los límites de la excepción al tratamiento de
datos personales con fines exclusivamente personales o domésticos, el derecho al
olvido, hasta el concepto de corresponsable del tratamiento, son algunas de las
1 Warren, S. y Brandeis, L.“The Right to Privacy” (4 Harvard L.R. 193 (Dec. 15, 1890). Consultado, en inglés, en https://
www.cs.cornell.edu/~shmat/courses/cs5436/warren-brandeis.pdf
cuestiones tratadas en las aproximadamente 50 sentencias que el TJUE ha emitido
a lo largo de los años.

Al mismo tiempo, en otras latitudes alrededor del planeta como América Latina,
África y Asia-Pacífico (APEC) se han ido adoptando leyes sobre protección de datos
o privacidad durante los últimos años. Es así que, conforme a los datos de Naciones
Unidas2, un total de 107 países alrededor del mundo, lo que supone el 58%,
cuentan ya con legislación sobre protección de datos o privacidad. Además, un 10%
de los países cuenta con borradores de legislación y en otro 21% no hay legislación
en la materia.

En cualquier caso, de entre las múltiples y diversas cuestiones que se plantean

en relación con la protección de datos personales, con independencia de que su
alcance sea global, regional o local, cabe destacar la necesidad de comprender la
importancia de los datos personales para poder avanzar en materia de progreso
social y desarrollo económico. Al mismo tiempo, cualquier enfoque legislativo o
regulatorio sobre este tema, requiere también certidumbre y flexibilidad para las
organizaciones que, con independencia de cuál sea su tipo o tamaño, tratan datos
personales. Es decir, cualquier enfoque o medida sobre la protección de datos
personales o la privacidad debe tener como objetivo una protección efectiva de la
persona física y fomentar la interrelación de este derecho con otros, así como con la
innovación tecnológica.

1. Instrumentos internacionales

Temas para meditar

¿Cuáles son los principales instrumentos internacionales en materia de protección 3

de datos?

¡Inmersión!

Como hemos visto, tanto la protección de datos personales como la privacidad

han tenido una evolución que, en muchos momentos, ha sido paralela y
complementaria.

Con independencia de algunas referencias concretas o enfoques específicos, esta

evolución se ha producido, fundamentalmente, desde finales del siglo pasado a
partir de varios instrumentos internacionales que fueron adoptados durante los
años 80. En algunos casos, estos instrumentos desarrollan las previsiones de otros
de ámbito universal, como es la Declaración Universal de los Derechos Humanos
(DUDH), adoptada en París el 10 de diciembre de 1948; o de ámbito regional, como
es el caso de la Declaración Americana de los Derechos y Deberes del Hombre,
aprobada en Bogotá (Colombia) en 1948, o el Convenio Europeo para la Protección
2 United Nations Conference on Trade and Development (UNCTAD), Data Protection and Privacy Legislation Worldwide.
Consultado, en inglés, en https://unctad.org/en/Pages/DTL/STI_and_ICTs/ICT4D-Legislation/eCom-Data-Protection-Laws.
aspx
de los Derechos Humanos y de las Libertades Fundamentales (Convenio Europeo de
Derechos Humanos), adoptado en Roma el 4 de noviembre de 1950.

En particular, ha sido en los últimos años cuando en varios países de América Latina
se han adoptado leyes en materia de protección de datos personales. En otros
casos, las leyes sobre protección de datos son adoptadas actualmente o podrían
serlo en los próximos años.

Además, también se han emitido sentencias relevantes sobre algunas cuestiones,

tales como el derecho al olvido, y las autoridades de protección de datos han
publicado resoluciones que sirven para conocer sus criterios en materia de
protección de datos personales.

Una cuestión importante a tener en cuenta es que muchas de estas leyes son
postdigitales. No obstante, otras leyes o regulaciones aplicables a la tecnología y
a los servicios digitales son pre-digitales, lo que en ocasiones puede dar lugar a
dudas sobre su interpretación pues requieren prestar atención a la necesidad de
una aplicación adecuada, considerando los avances que se producen en todos los
ámbitos, social, económico, tecnológico, etc.

Diversos instrumentos internacionales, constituciones y leyes incluyen los derechos

a la protección de datos personales o a la privacidad, según el término utilizado en
cada uno. Por lo que se refiere a los instrumentos internacionales, cabe mencionar
los siguientes:

Resolución 45/95 de la Asamblea General de las

Naciones Unidas del 14 de diciembre de 1990, sobre
Naciones Unidas 4
principios rectores sobre la reglamentación de los
ficheros computadorizados de datos personales.
Organización para la
Cooperación y Desarrollo Recomendaciones del Consejo de la OCDE (2013)1.
Económico (OCDE)
Convenio 108+ para la protección de las personas
Consejo de Europa con respecto al tratamiento automatizado de datos de
carácter personal (2018).

La Resolución 45/95 de la Asamblea General de las Naciones Unidas, que

tiene aplicación mundial, enumera los principios rectores para la reglamentación de
archivos de datos personales informatizados3.

La Asamblea General es el principal órgano deliberativo, de formulación de políticas

y representativo de las Naciones Unidas. Sus resoluciones son declaraciones
formales y, aunque no tengan carácter vinculante, sirven para generar la costumbre
internacional como fuente del derecho.

3 Guidelines for the Regulation of Computerized Personal Data Files.

En concreto, la Resolución pide a los gobiernos que tengan en cuenta los principios
rectores en sus leyes y reglamentos, y a las organizaciones gubernamentales,
intergubernamentales y no gubernamentales que los observen en el desarrollo de
las actividades de su competencia.

Las Recomendaciones de la OCDE (2013) fueron consideradas, en su versión

de 1980 como el primer instrumento internacional que establecía un conjunto de
principios de privacidad acordado a nivel internacional.

Como recomendaciones, son buenas prácticas dirigidas a los países parte de la

OCDE. En concreto, deben ser consideradas como estándares mínimos que pueden
ser complementadas con otras medidas adicionales.

La versión original de 1980 fue actualizada en 2013 considerando, en particular, la

aplicación práctica de la protección de datos a través de una aproximación basada
en el riesgo que puede implicar el tratamiento de datos para la persona física a la
que se refieren y a la necesidad de abordar la dimensión global de la privacidad a
través de una mejor interoperabilidad.

Esta versión actualizada mantiene los principios básicos en materia de privacidad

que se incluían en la versión de 1980. Por lo que se refiere a la transferencia
internacional de datos, la versión actualizada moderniza la aproximación a esta
cuestión. Además, revisa también algunas cuestiones en relación con el concepto
de organización responsable y refuerza el cumplimiento o aplicación de la ley (en
inglés, enforcement) en materia de privacidad.

El Convenio 108 del Consejo de Europa, en su versión de 1981, fue el primer

instrumento jurídico internacional vinculante en materia de protección de datos 5
personales. Fue modificado en 2018, dando lugar al Convenio 108+.

Que este instrumento sea vinculante implica que los Estados que lo ratifican tienen
que adoptar medidas y garantías en materia de protección de datos personales y
mantenerlas. A mediados de 2019, un total de 54 países alrededor del mundo eran
Estados parte del Convenio, en su mayoría miembros del Consejo de Europa. A
los anteriores hay que sumar otros 14 países que son observadores. Al Convenio
pueden acceder, mediante invitación, otros países que tengan legislación sobre
protección de datos.

En concreto, el articulado del Convenio incluye los principios en materia de

protección de datos y previsiones sobre los mecanismos para su garantía y
aplicación o cumplimiento. Además, incluye también artículos sobre derechos de los
interesados, la necesidad de contar con una autoridad de control independiente y
normas relativas a las garantías relativas a la transferencia o flujo internacional de
datos.

En este caso, debe tenerse también en cuenta que, en los años 1970, el Comité de
Ministros del Consejo de Europa aprobó dos Resoluciones relevantes en materia de
protección de datos personales. La primera es la Resolución R (73) 22, relativa a la
protección de la vida privada de las personas físicas respecto de los bancos de datos
electrónicos en el sector privado, y la segunda, la Resolución R (74) 29, relativa a la
protección de la vida privada de las personas físicas respecto a los bancos de datos
electrónicos en el sector público. Ambas resoluciones contienen, respectivamente
en su ámbito de aplicación público (gobierno o Administraciones Públicas) o privado
(empresas), los principios relativos a la protección de datos personales.

1.1. Derechos a la protección de datos y a la privacidad

Aunque ya hemos visto qué es la protección de datos personales y la privacidad,

es importante tener en cuenta dos definiciones que permitan identificar la conexión
entre estos términos. Es así que ser puede entender por:

Derecho a la protección de datos personales: el derecho de la persona

física a la que se refieren los datos personales a saber quién, cómo y para qué
se tratan. Según cada jurisdicción, en virtud de este derecho, la persona física
tendrá derecho a dirigirse al responsable del tratamiento para saber si trata
sus datos personales, qué datos personales trata o ejercer otros derechos.
Es decir, el derecho a la protección de datos tiene por objeto garantizar un
tratamiento lícito y legal de los datos personales.

En definitiva, el derecho a la protección de datos personales permite a la

persona, a quien se refieren los datos personales, saber quién y para qué se
tratan, pudiendo ejercer sus derechos ante el responsable del tratamiento.

1.2. Los datos personales de alguien. Pero, ¿qué son realmente?

6
Temas para meditar

¿Qué quiere decir que algo es de alguien?

Es importante pensar algunas situaciones:

Una niña de cinco años está en el parque con su juguete nuevo. Imaginen a
la niña jugando con el muñeco y evitando que otros niños lo cojan -bueno, no
siempre es el caso-. La niña controla el juguete porque es suyo y evita que
otros puedan interactuar con él.

Hay un laboratorio farmacéutico, dueño de una patente vigente para un

medicamento contra la migraña. El laboratorio protege la patente del
conocimiento de los demás y la usa para producir una pastilla que lanza al
mercado. Nadie más conoce su fórmula -aunque sí los componentes-, y si
alguien hiciera algún tipo de espionaje para conocerla, podría estar sujeto a
acciones legales.

Un compositor de música tropical escribe la letra y música de una canción

que interpreta, graba en su estudio y la vende por internet a través de su
 página web; sin embargo, activa el mecanismo de dar de baja contenidos en
cada una de las plataformas tecnológicas en las que su canción está sonando
cuando terceros, sin su permiso, cuelgan interpretaciones de su letra, música
o, inclusive, su misma grabación.

En todos estos casos hay elementos en común. El objeto bajo protección es un

juguete, una fórmula o una canción, que solo pueden ser usados por terceros con
el consentimiento y en las condiciones en que el interesado determina o en casos
autorizados por una ley.

¿Es esto mismo es lo que ocurre en el caso de los datos personales? ¿El nombre
(nombre y apellidos), por ser de la persona, solo le pertenece a ella y nadie puede
usarlo? Es decir, con carácter general, si la persona no autoriza a un tercero, de
antemano, que se puede dirigir a ella por su nombre, ¿entonces esa persona tiene
que tratar de manera impersonal o, por lo menos, sin usar elsu nombre?

¿Es el nombre igual a la dirección postal? ¿Si no autoriza que alguien tome una foto
de la placa de la dirección de su casa, no puede esa persona hacerlo solo porque
ella vive ahí y es su dirección postal?

¿Es la dirección igual al correo electrónico? Si no autoriza a que alguien le escriba

a su correo electrónico, ¿entonces no le puede escribir sin antes consultarle si le
autoriza a escribirle?

¿Es el correo electrónico igual a ls historia clínica? Si lo atropella un coche y lo

recoge una ambulancia estando inconsciente, ¿no puede la ambulancia decirle al
hospital su nombre y número de identificación, sus signos vitales y el estado de
inconsciencia en que está, solo porque no lo ha autorizado? 7

Si su contrato laboral expresamente dice que debe cumplir un horario de 7:00

a.m. a 2:00 p.m., de martes a sábado, acaso no puede el empleador verificar sus
tarjetas de entrada y salida para determinar si esta cumpliendo con ese horario, a
menos que lo autorice a identificar las entradas y salidas?

Si la academia en la que toma clases de francés utiliza un método de aprendizaje

en línea y evaluaciones semanales para verificar su aprendizaje, ¿acaso no puede
la academia realizar el análisis de esos tests y evaluaciones para identificar dónde
tiene flaquezas, a menos que acceda a que se analicen sus respuestas y se saquen
conclusiones sobre ellas y le asignen una nota?

Los datos sobre una persona, o que los identifican, existen tal vez por el simple
hecho de que esta persona interactúa con el mundo y no está confinada a un
recinto privado y cerrado, aislado de ese entorno exterior. Aún en este caso,
habría datos de la persona o sobre ella que la identificarían, solo que terceros no
los conocerían porque no podrían verla ni interactuar con ella. El asunto sobre
qué es un dato personal de una persona es fundamental para pensar en cuál es
el marco regulatorio que mejor permitirá que los datos se usen para realizar esa
faceta externa de interacción del individuo con el mundo, asegurando la adecuada
protección de sus intereses dado el avance de las formas mismas de socialización,
comunicación, observación, relacionamiento e interacción.

Algunas cuestiones importantes que se deben considerar son:

1. ¿Cuál es la forma más clara de pensar en qué son los datos respecto del
interesado, es decir, la persona física a la que se refieren?
2. ¿Qué hace entonces que una información sea considerada dato o información
personal?
3. ¿Se trata de propiedad sobre el dato? ¿Realmente?
4. ¿Hasta dónde alcanza el ejercicio de los derechos sobre los datos personales?
5. ¿Están sujetos estos derechos a requisitos y límites?

Es decir, no debe confundirse que sea información personal (referida o relativa

a una persona física) y propiedad. Si una información identifica a una persona
física será considerada dato personal sin que suponga que sea propiedad de esta.
En su caso, la persona a la que se refieren los datos personales puede ejercer los
derechos que le reconoce la Ley ante el responsable que trata los datos personales.
Estos derechos, tales como los de acceso, rectificación, supresión, etc., confieren al
interesado la posibilidad de asegurarse que el tratamiento es lícito. Ahora bien, no
son derechos ilimitados.

Los derechos del interesado son sobre cómo se tratan los datos personales relativos
a la persona física a la que se refieren. La finalidad es evitar un mal uso de los
datos personales o que no se cumplan los principios previstos en la Ley sobre
protección de datos.

A continuación, se verá un ejemplo de un tratamiento de datos que expone cómo

los datos personales se refieren a la persona física, pero pueden ser tratados para 8
determinadas finalidades sin que aquélla se pueda oponer.
Para poder visitar tiendas departamentales online y hacer compras, María ha
contratado el servicio de acceso a Internet con un proveedor. Cuando compra
online, María paga las compras con una tarjeta de crédito.

En este caso, se darían dos tratamientos de datos personales que son necesarios
para que María pueda navegar en Internet y hacer sus compras:

El relativo al uso de Internet, de manera que María tendrá que pagar al

proveedor de Internet por el servicio contratado y prestado. María no podrá
oponerse a dicho tratamiento ya que está obligada a pagar por el servicio
prestado. Tampoco podrá solicitar al proveedor de Internet que borre sus
datos personales porque son necesarios para facturar el servicio que ha
contratado.

El tratamiento que se refiere al pago de lo que compra con la tarjeta de

crédito. María tampoco podrá oponerse a que el banco trate sus datos
personales para que se lleve a cabo el pago de lo que haya comprado en las
tiendas departamentales a través de Internet.

Es decir, se produce un tratamiento de datos personales ante el que María podría 9

ejercer sus derechos en materia de protección de datos, pero no puede ejercer
otros ya que son necesarios, en este caso, para el pago de los servicios contratados
o de lo que haya comprado.

Como se ha visto, para que el tratamiento de los datos personales sea legal, se
tiene que cumplir con unos principios. En particular, estos principios son:

Principio de información: este principio implica que el interesado, salvo

excepciones, cuenta con información completa sobre el tratamiento que
realiza el responsable. En el mundo digital, la forma misma en que la
información es procesada puede ser un secreto empresarial que una empresa
no puede revelar, so pena de estar dándole información que le es vital a sus
competidores. Tal es el caso de algoritmos y procesos de tratamiento de datos
en general, que también son aplicados de manera agnóstica y neutral en el
caso de los datos personales.

Principio de finalidad del tratamiento: este principio implica que el

tratamiento tiene unos fines determinados, explícitos y legítimos. Las
 tecnologías de procesamiento de la información basadas en algoritmos
y aprendizaje autónomo hacen que sea difícil, si no imposible la
determinación de estas finalidades desde el momento de recolección
del dato, pues los resultados constantemente cambiantes dependen no
solamente de ese dato sino de los millones de otros datos que están siendo
procesados al mismo tiempo y de la tecnología misma. Si hay algo que es
cierto, es que cada vez más en el caso de las tecnologías de inteligencia
artificial o aprendizaje automático, la aplicación de estas tecnologías resulta
en el descubrimiento de nuevos usos beneficiosos de los datos y, por tanto,
las finalidades de su procesamiento desde el punto de vista de quien aplica
la tecnología, son cambiantes.

Principio de minimización de datos: algunas jurisdicciones han incorporado

este principio en sus normativas. Según este principio, los datos personales
debe ser los mínimos adecuados, relevantes y limitados para lograr las
finalidades propuestas en el tratamiento. Sin embargo, la tecnología continúa
proyectándose y evolucionando hacia el procesamiento de toda la información
disponible o que pueda obtenerse para lograr resultados verdaderamente
valiosos. Hay tecnologías que tienen altísima funcionalidad o potencial, que
requieren del tratamiento de grandes cantidades de información sin que haya
posibilidad de minimizarla.

Si se atiende a los instrumentos internacionales ya mencionados, en el caso de

la Resolución 45/95 de la Asamblea General de las Naciones Unidas, los
principios son los relativos a:

1. Legalidad y lealtad: los datos personales no pueden tratarse de manera desleal

o ilícita ni ser utilizados infringiendo los fines y principios de la Carta de Naciones 10
Unidas.

2. Exactitud: los datos personales tienen que ser exactos y pertinentes, es decir,
adecuados en atención al fin del tratamiento, garantizando que se mantengan de la
forma más completa posible.

3. Especificación de la finalidad: la finalidad del tratamiento debe ser

especificada, legítima y puesta en conocimiento de la persona interesada.

4. Acceso a la persona: la persona interesada que ofrezca prueba de su identidad

tiene derecho a saber si sus datos personales son objeto de tratamiento, así como a
rectificar o suprimir cuando sea procedente los datos que sean ilícitos, innecesarios
o incompletos, y cuando sea comunicada, a ser informado de sus destinatarios.

5. No discriminación: sin perjuicio de las excepciones que se prevean al respecto,

no deben ser tratados los datos que puedan dar origen a una discriminación ilegal o
arbitraria, incluida la información relativa a origen racial o étnico, color, vida sexual,
opiniones políticas, religiosas, filosóficas y otras creencias, así como la circunstancia
de ser miembro de una asociación o sindicato.
6. Excepciones a los principios: los principios del 1 al 4 podrían ser objeto
de excepción, siempre que esté previsto explícitamente en una ley o norma
equivalente aprobada de acuerdo con el sistema jurídico correspondiente que
expresamente establezca los límites y prevea las salvaguardas adecuadas, para
proteger la seguridad nacional, el orden público, la salud pública o la moralidad,
así como, entre otras cosas, los derechos y libertades de otros, especialmente de
personas que estén perseguidas (cláusula humanitaria).

El principio de no discriminación podrá ser objeto de excepciones que, además

de cumplir con lo ya indicado en el caso anterior, estén dentro de los límites
establecidos en la Carta Internacional de Derechos Humanos y en el resto de
instrumentos aplicables en el campo de la protección de los derechos humanos y la
prevención de la discriminación.

1. Seguridad: los archivos de datos personales deben ser protegidos tanto contra
peligros naturales, la pérdida o destrucción accidental; humanos, el acceso no
autorizado, el uso fraudulento de los datos o la contaminación mediante virus
informáticos.

Además, cada país designará una autoridad independiente que supervise

la observancia de estos principios. En materia de transferencias o flujos
internacionales de datos, la información debe circular libremente cuando
los países involucrados ofrezcan salvaguardas similares para la protección de
la intimidad y, si no existieran salvaguardas recíprocas, no deberán imponerse
limitaciones indebidas, sino solamente en la medida que lo exija la protección de la
intimidad.

Las Recomendaciones de la OCDE, en su versión actualizada de 2013, incluyen 11

los siguientes principios:

1. Limitación de la recogida: deben existir límites a la recogida de datos y estos

deberán obtenerse por medios legales y legítimos y siempre que sea posible, con el
consentimiento o conocimiento del interesado.

2. Calidad de los datos: los datos personales deberán ser relevantes para el fin de
su uso, así como exactos, completos y actuales para dicho fin.

3. Especificación de la finalidad: deberá ser específico en el momento de la

recogida y los datos personales no deberán tratarse para fines incompatibles con el
fin original.

4. Limitación del uso: los datos personales no serán divulgados, puestos a

disposición o usados para fines que no cumplan con el principio de especificación,
excepto: (1) si tiene el consentimiento del interesado o (2) por imposición legal o
de las autoridades.

1. Salvaguardia de la seguridad: deberán emplearse medidas de seguridad

razonables para proteger los datos personales contra riesgos, tales como pérdida,
acceso, destrucción, uso, modificación o divulgación no autorizados.

2. Transparencia: deberá existir una política general sobre transparencia en

cuanto a evolución, prácticas y políticas relativas a datos personales.

3. Participación individual: la persona tiene derecho a que el responsable del

tratamiento le confirme si trata o no sus datos personales, a obtener una copia de
estos, a la rectificación y a la supresión de sus datos personales.

4. Responsabilidad (accountability): el encargado del tratamiento tiene la

responsabilidad del cumplimiento de las medidas que hagan efectivos los principios.

En cuanto a las transferencias internacionales de datos, las Recomendaciones

de la OCDE prevén el libre flujo de los datos cuando: (1) el país al que se
transfieren observa sustancialmente las recomendaciones, o (2) existen garantías
suficientes, incluyendo mecanismos efectivos de aplicación de la ley y medidas
adecuadas adoptadas por el responsable del tratamiento para asegurar un nivel
de protección consistente con el de las recomendaciones. Las restricciones a la
libre transferencia internacional de datos deberían ser proporcionales a los riesgos
existentes, considerando la sensibilidad de los datos, la finalidad y el contexto del
tratamiento.

En lo que se refiere al cumplimiento (en inglés, enforcement), las 12

Recomendaciones de la OCDE impulsan la cooperación internacional entre
las autoridades de protección de datos, además de alentar a los países a
que promuevan el desarrollo de acuerdos internacionales que faciliten la
interoperabilidad entre los marcos de protección de datos.

El Convenio 108+ del Consejo de Europa incluye los siguientes principios en

materia de protección de datos:

1. Legitimación del tratamiento de datos y calidad de los datos: el tratamiento

de los datos personales deberá cumplir con las condiciones de licitud, que son la base
o fundamento de legitimación del tratamiento y los principios aplicables.

2. Categorías especiales de datos: su tratamiento solo estará permitido si se han

adoptado garantías adecuadas contra riesgos para los intereses, derechos y libertades
fundamentales de los interesados, en particular el riesgo de discriminación.

3. Seguridad de los datos: tanto el responsable como el encargado del

tratamiento deberán adoptar las medidas de seguridad adecuadas contra los
riesgos tales como acceso accidental o no autorizado, destrucción, pérdida, uso,
modificación o revelación no autorizados.
4. Transparencia del tratamiento: excepto que el interesado ya tenga
información relevante, deberá ser informado, al menos, de la identidad y
establecimiento del responsable del tratamiento, la base de legitimación y fines
del tratamiento, las categorías de datos personales tratados, los destinatarios o
categorías de destinatarios y los medios para el ejercicio de los derechos.

5. Derechos del interesado: son los relativos a no ser objeto de decisiones

individuales automatizadas, al acceso, a la oposición al tratamiento, a la
rectificación o supresión de sus datos personales, a reclamar y a la tutela de la
autoridad de protección de datos para el ejercicio de sus derechos.

6. Excepciones y restricciones: cuando sean aplicables, deberán estar previstas

en la ley, respetar la esencia de los derechos y libertades fundamentales y constituir
una medida necesaria y adecuada en una sociedad democrática, los derechos y
libertades de otros, en particular la libertad de expresión, u otras tales como el
tratamiento con fines de archivo en interés público o fines estadísticos.

Las transferencias internacionales de datos. Cuando el país que recibe una

transferencia internacional no es parte del Convenio, requerirán de garantías que
proporcionen un nivel de protección adecuado, tales como la ley del país de destino
o garantías estándar aprobadas por instrumentos jurídicos vinculantes.

Finalmente, en relación con la existencia de una autoridad de protección de

datos, el Convenio 108+ prevé que cada Estado parte designará una o más
autoridades de protección de datos encargadas de supervisar el cumplimiento en la
materia. Estas autoridades:

Tendrán poderes de investigación e intervención. 13

Desarrollarán funciones en relación con las transferencias internacionales, en

particular la aprobación de garantías estándar.

Con carácter general, es decir, aplicado o no a los datos personales, la seguridad

de la información tiene como objetivo asegurar:

Confidencialidad: entendida esta como que solo quienes estén autorizados

puedan acceder a la información.

Integridad: asegurando que la información sea exacta y completa, de manera

que se evite toda pérdida o modificación no autorizada.

Disponibilidad: lo que implica que se deba poder acceder a la información

cuando sea necesario.

La seguridad de la información, como término amplio y también sinónimo de

ciberseguridad, puede derivar de:
Las leyes, tanto sobre protección de datos personales como las relativas, entre
otras, a la protección de infraestructuras críticas o servicios digitales públicos y
privados, con la finalidad de asegurar la protección de la información, sean datos
personales o no.

La regulación que desarrolle la ley o la que es emitida por autoridades reguladoras

o las autoridades de protección de datos, según corresponda.

Las normas o los estándares con diverso alcance, tales como las normas
ISO (Organización Internacional de Normalización). Algunas de estas normas o
estándares son:

La ISO/IEC 27001:2013 Tecnología de la información - Técnicas de seguridad –

Sistema de gestión de Seguridad de la información – Requisitos.

La ISO/IEC 27002 Tecnología de la información – Técnicas de seguridad –

Código de práctica para la gestión de la seguridad de la información;.

La ISO/IEC 27018:2019 Tecnología de la Información - Código de práctica para

la protección de información personal identificable (PII) en nubes públicas que
actúan como encargados del tratamiento.

La ISO/IEC 27017:2015 Tecnología de la información - Técnicas de seguridad -

Código de práctica para controles de seguridad de la información basados en la
ISO/IEC 27002 para servicios de nube.

La ISO/IEC 27701:2019 Técnicas de seguridad - Extensión a la ISO/IEC 27001 14

y a la ISO/IEC 27002 para la gestión de la privacidad de la información -
Requisitos y directrices4,

El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (en

inglés, Payment Card Industry Data Security Standard, PCI DSS), desarrollado
como una guía para ayudar a las organizaciones que procesan, almacenan y/o
transmiten datos de los titulares de las tarjetas a protegerlos.

Los contratos, tales como los Acuerdos de Nivel de Servicio (en inglés, Service
Level Agreement, SLA), en los que se incluyen cláusulas, anexos u otras previsiones
sobre la seguridad de la información cuando, por ejemplo, un proveedor de
servicios de nube presta un servicio a un cliente que implica el tratamiento de datos
personales y se establece la necesidad de que aquél aplique medidas técnicas y
organizativas de seguridad.

Sin perjuicio de lo anterior, el cumplimiento de requisitos en materia de seguridad

de la información podría derivar también de otros instrumentos como, por ejemplo,
códigos de conducta.

4 ISO/IEC 27701:2019 Security techniques -- Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management --
Requirements and guidelines. Publicada en Agosto de 2019. Consultada, en inglés, en https://www.iso.org/standard/71670.html
En la era digital, la seguridad de la información ha dado paso a la ciberseguridad.
Esta puede aplicarse, en particular, a los servicios digitales, en el sentido de que el
proveedor adopte, aplique y mantenga, mejorando según sea necesario, medidas
técnicas y organizativas adecuadas. También al comercio electrónico, la realización
de transacciones con las administraciones públicas, con la finalidad de proteger
los datos personales del usuario o consumidor cuando son tratados, ya sea para
el registro en un sitio web, el tratamiento en la base de datos del proveedor o su
destrucción cuando ya no sean necesarios.

(Footnotes)
1 Guidelines on the Protection of Privacy and Transborder Flows of Personal Data.

15