Aspectos legales a tener en cuenta en el

uso de datos
El objetivo de esta lectura es conocer de cerca los aspectos legales a tener
en cuenta cuando trabajamos con los datos. Para ello, vamos a explorar las
definiciones recogidas en las distintas instituciones internacionales, así como
responder a las preguntas que surgen cuando una organización utiliza los
datos que tiene a su disposición.

1
Marco legal en torno a los datos
Ya sabes que los datos son la base de todo el proyecto Big Data, pero detrás de cada
dato generado hay una persona. El tratamiento de datos plantea una serie de
cuestiones de gran relevancia en relación con las personas que lo generan: ¿qué son
los datos personales? ¿Cómo varía el tratamiento de datos personales en las
diferentes geografías? Veamos.

Europa

El primer concepto que es necesario comprender es la definición de un dato personal.

En el Reglamento del Parlamento Europeo, un “dato personal” es toda información
sobre una persona física que permite que sea identificada. En el mismo Reglamento
se especifica cómo se entiende que una persona física es identificada o identificable,
de la siguiente manera: “(…) se considerará persona física identificable a toda persona
cuya identidad pueda determinarse directa o indirectamente, en particular mediante
un identificador (…)”. Por tanto, cuando dice que una persona es identificable, significa
que a través de determinados datos personales se puede llegar a descubrir con
exactitud quién es esa persona a quien le corresponden dichos datos. Ejemplos de
datos personales son el nombre, los apellidos, el número del documento de
identificación, el número de pasaporte, el número de cuenta bancaria, etc. En cuanto
a la distinción entre identificación directa e indirecta, hace referencia a lo siguiente:
una identificación directa sería, por ejemplo, disponer del nombre y apellidos de una
persona, así como el número de identificación, ya que es único y se asocia
directamente con una persona; por otro lado, una identificación indirecta sería la
dirección (localización) de una persona (país, estado, calle, número de puerta, etc.),
ya que a través de esos datos se podría descubrir quién vive en dicho domicilio,
identificando indirectamente a la persona a la que le corresponden dichos datos
personales.

2
Al mismo tiempo, en el mismo Reglamento del Parlamento Europeo, se explica que la
protección de datos personales consiste en el reconocimiento legal del derecho de las
personas sobre su propia información personal. Reconoce al ciudadano la facultad de
controlar sus datos personales y la capacidad de disponer y decidir sobre los mismos.

La protección de datos personales tiene una importante dimensión internacional. En

el entorno europeo, para la protección de datos, existen directivas y reglamentos que
regulan este ámbito. Todo lo que establezca una directiva o el reglamento es de
obligatorio cumplimiento para todos los países miembros de la Unión Europea.

En el año 2016, se aprobó un nuevo reglamento y una nueva directiva, creándose de

este modo un nuevo marco europeo de protección de datos. En el tratamiento y
manipulación de datos, el reglamento de aplicación es el relativo a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos. El 25 de mayo de 2018, obligatoriamente todas las
empresas se tenían que haber adaptado y tendrían que haber aplicado lo necesario
para cumplir con la ley. La gran novedad que introduce este reglamento es la
unificación de todas las leyes existentes en la Unión Europea, estableciendo así una
unidad de criterio en la aplicación y garantía de derechos de los ciudadanos europeos
en materia de privacidad y protección de datos; con lo que, además, se facilita una
operación más rápida y efectiva entre las autoridades judiciales y policiales.

De este modo, el principal objetivo en la Unión Europea es evitar que los datos de sus
ciudadanos puedan ser objetos de violaciones de privacidad.

América Latina

En América Latina, la situación es totalmente diferente: al no existir una regulación

común, cada país ha abordado el problema de una manera distinta, sin embargo, la
tendencia es intentar que las normas de protección de datos sean comunes. Para ello,
existen organizaciones como la Red Iberoamericana de Protección de Datos,
instancia donde se realiza el intercambio de buenas prácticas entre los principales

3
actores del sector privado y público, y con las principales agencias de protección de
datos de los países miembros.

En junio de 2017, se aprobaron los estándares de protección de datos de los Estados

Iberoamericanos (puedes encontrar el enlace de la documentación detallada en
“Referencias”).

Principios de protección de datos

Los reglamentos anteriormente mencionados reúnen una serie de principios o reglas
principales de protección de datos que nos ayudan a comprender y a limitar la forma
en que los datos tienen que ser recogidos, tratados y explotados. Existen seis
principios:

1. Principio de calidad de datos: los datos de carácter personal solo se podrán

recoger para su tratamiento cuando sean adecuados, pertinentes y no
excesivos. Por ejemplo, en caso de recopilar datos médicos, no se debe
recoger mayor información que aquella que justifica el tratamiento de los
pacientes, sino la justa y necesaria para poder solventar los problemas
inherentes a dichos pacientes. A su vez, los datos personales recabados solo
podrán utilizarse para el fin que motivó su recogida, no pudiendo utilizarse para
una finalidad de incompatible, por ejemplo, los datos recopilados en un
procedimiento médico no podrán utilizarse con fines comerciales; ya que no se
corresponden con su finalidad concreta de realizar un tratamiento médico a un
paciente determinado.

2. Principio de información de recogida de datos. Durante la recogida de datos de

una persona, el responsable del fichero donde se almacenan dichos datos
personales le debe informar a la persona en cuestión que sus datos van a ser
almacenados en un fichero, la finalidad de su almacenamiento y uso, los
destinatarios de la información, la posibilidad de ejercer sus derechos ARCO
(Acceso, Rectificación, Cancelación y Oposición). Por ejemplo, cuando te

4
 registras en una web que ofrece un servicio, te solicita que apruebes un
mensaje donde se especifican los acuerdos con el cliente respecto a la
recogida y tratamiento de los datos.

3. Principio de consentimiento. Éste exige la prestación del consentimiento previo

de la persona para que se haga el tratamiento de sus datos. Por ejemplo, en el
caso de realizar una encuesta, el encuestador puede recoger los datos
personales de dicha persona, pero éste debe aceptar (consentir) que sus
respuestas serán analizadas y que sus datos personales estarán vinculados a
dichas respuestas.

4. Principio de datos especialmente protegidos. Éstos son aquellos que revelen

la ideología, la afiliación sindical, la religión y creencias que necesitan de un
consentimiento expreso y por escrito. Por ejemplo, cuando rellenas un
formulario con tu condición de afiliado sindical, dichos datos deben quedarse
ocultos, ya que pueden derivar en problemas laborales en caso de hacerse
públicos.

5. Principio de comunicación de datos. Éste establece que es necesario que la

cesión de los datos se realice para que el cumplimiento de fines directamente
relacionados con las funciones acordadas previamente con la persona en
cuestión. Por ejemplo, cuando aceptas las políticas de privacidad de un sitio
web que comunicará tus datos a otros proveedores de cara a ofertarte
publicidad personalizada. Dicha comunicación de datos debe enmarcarse
única y exclusivamente en los términos pactados y con la intención de ofrecerte
productos/servicios individualizados.

6. Principio de acceso de datos por cuenta de terceros. Recoge la posibilidad de

que los datos personales pueden ser tratados por terceras partes que se
acogen a las mismas responsabilidades y obligaciones que la primera. Por

5
 ejemplo, en el caso anterior, el proveedor externo a la web a la que nos hemos
suscrito podrá utilizar los datos bajo la mismas condiciones de suscripción.

Derechos ARCO

En el principio de información de recogida de datos, se han introducido los derechos

ARCO, que las personas pueden ejercer sobre sus datos. Estos derechos son los
siguientes:

• Derecho de acceso, que permite al ciudadano conocer y obtener gratuitamente

información sobre sus datos de carácter personal. Por ejemplo, en caso de que
una persona esté interesada en saber si los datos personales registrados en
una página web están siendo utilizados, tiene derecho a solicitar a dicha web
un fichero donde se indique el tratamiento que están llevando a cabo con sus
datos.

• Derecho de rectificación, que permiten corregir errores, modificar los datos que
resulten ser inexactos o incompletos y garantizar la certeza la información. Por
ejemplo, una persona que se cambia de domicilio tiene derecho a rectificar la
localización de todos aquellos lugares donde estén recogidos sus datos
personales.

• Derecho de cancelación, que permiten que se supriman los datos que resulten
inadecuados o excesivos. Por ejemplo, cuando una persona que desee
cancelar su suscripción a un servicio web donde registró sus datos, también
puede solicitar que se eliminen todos sus datos personales, para que dicha
web no pueda seguir usando sus datos personales.

Derecho de oposición, que permiten no se lleva a cabo el tratamiento de sus datos de

carácter personal. Por ejemplo, en caso de que una empresa esté tratando los datos
personales con finalidades comerciales, la persona afectada tiene derecho a
oponerse a este tratamiento de sus datos personales y por tanto pedir su cese.

6
Conclusiones
En esta lectura, hemos visto que el marco el que nos movemos cuando nuestro
proyecto Big Data trata con fuentes de datos de carácter personal, especialmente; así
como los principios de protección y derechos de las personas relativos a esta
información. Ha quedado patente la importancia de la protección de datos personales,
en cuanto a que no deben ser utilizados con una finalidad distinta a la que fue
proporcionada, evitando con ello que se afecte a los derechos y libertades de las
personas físicas.

Referencias
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de
2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de protección de datos) (DOUE L 119, de 27
de abril de 2016, p.1).

Red Iberoamericana de Protección de Datos. (2017). Estándares de protección de

datos personales para los estados iberoamericanos. Recuperado de:
http://www.redipd.org/noticias_todas/2017/novedades/common/Estandares_Esp_Co
n_logo_RIPD.pdf#Testo%20en%20espa%C3%B1ol

Esta obra está sujeta a la Licencia Reconocimiento-NoComercial-SinObraDeriv ada 3.0 España de Creativ e Commons. Para v er una copia
de esta licencia, v isite http://creativ ecommons.org/licenses/by-nc-nd/3.0/es/ o env íe una carta Creativ e Commons, PO Box 1866, Mountain
View , CA 94042, USA.