CURSO: GOBERNANZA DE DATOS

Video principal del MOOC. Experto académico

https://courses.edx.org/courses/course-
v1:JaverianaX+GDD1.2x+3T2019/courseware/bc7f43dd40b849cc806da4ee55300fd3/a758392
70c314ac9b2d5176309bab1c3/2?activate_block_id=block-v1%3AJaverianaX%2BGDD1.2x
%2B3T2019%2Btype%40html%2Bblock%4024554df2875f426f8afc2be8a6d7e7a3

Hola, le doy la bienvenida del curso relativo a gobernanza de la protección

de datos personales en la era digital. Vamos a ver diferentes cuestiones que

son relevantes en esta materia, obviamente el curso está diseñado de

manera que usted pueda tanto analizar o estudiar cuestiones

sobre cada uno de los módulos que se plantean como parte del curso y

obviamente también reflexionar sobre algunas cuestiones esenciales, hay

algunos temas importantes sobre los que hace falta meditar también en cuanto a

la interrelación entre protección de datos personales y otras cuestiones como

esa evolución tecnológica que se que se está produciendo y obviamente también

sobre los diferentes ámbitos o aspectos en los que se aplica la normativa en

materia de protección de datos personales. Es por ello que como parte de este curso

específicamente el primero de los módulos es el relativo a gobernanza de

los datos personales como tal, es un módulo en el que comienza este módulo

con el concepto mismo de gobernanza a efectos de ver qué significa la

gobernanza en materia de protección de datos personales y ver diferentes

cuestiones en relación con la protección de datos personales y la gobernanza, todo

aplicado hacia la era digital como tal. Vamos a ver también otras cuestiones

importantes y relevantes, distinguir también esa gobernanza de lo que es

gestión en sí misma o el cumplimiento en sí mismo y atender a la gobernanza como

el compromiso de la organización sea pública o sea privada, con el

cumplimiento en materia de protección de datos personales la interrelación con

otros conceptos, como puede ser la responsabilidad demostrada o

accountability y toda otra serie de cuestiones. El segundo de los módulos son

algunas cuestiones de política pública en materia de protección de datos

personales, hay que considerar también que este derecho a la protección de

datos personales no es un derecho absoluto, hay otra serie de cuestiones la

evolución o avance mismo de la protección de datos personales en los

diferentes instrumentos o normas en la materia ya sean nacionales o

internacionales, considerando específicamente esa evolución a nivel

internacional, desde unas directrices de la OCDE o Organización para

la Cooperación y el Desarrollo Económico, nuevo convenio 108 del Consejo Europa o

cómo se ha ido produciendo esa evolución en diferentes regiones alrededor del

mundo. También ve obviamente los límites específicos a la protección de

datos personales, otras cuestiones que se plantean en la materia,

las figuras mismas tanto de responsable encargado del tratamiento o ver por qué

es importante entender específicamente cada una de esas figuras, la necesidad de

que el encargado de tratamiento pueda llevar a cabo determinados tratamientos

de datos personales, para poder prestar en sí mismo el servicio al responsable

del tratamiento u otras cuestiones que se están planteando en el día a día en

esta materia. El tercero de los módulos

obviamente sería el relativo también al cumplimiento normativo y regulatorio

en materia de protección de datos personales, donde tenemos que atender a

las diferentes situaciones que pueden darse, incluso también en particular cuál

es el rol o el papel de la autoridad de protección de datos personales, cuál debe

ser específicamente su rol o papel en materia de protección de datos

personales, qué es lo que tiene que hacer el prescriptor o la persona que está cumpliendo

con la normativa en materia de protección de

datos personales, para poder cumplir con la misma y garantizar de esa manera
o intentar minimizar el riesgo que puede implicar todo el tratamiento de datos

personales. Y por último en el módulo 4

vamos a ver esa evolución hacia la protección de datos personales en las

sociedades y economías digitales, los datos personales son en última instancia el

insumo necesario para poder evolucionar, para poder desarrollar nuevos servicios,

para poder prestar nuevos servicios, de manera que tanto la persona como la

sociedad se puedan beneficiar de los importantes avances que se producen en

el día a día con las garantías necesarias.

Video. Aspectos generales del módulo

https://courses.edx.org/courses/course-
v1:JaverianaX+GDD1.2x+3T2019/courseware/2f896e8a4d924fd0979a0c3ee3e47277/faa0310e
8455492d99f015648d52c905/?child=first

En el módulo 1 lo que va a ver específicamente es la gobernanza, la

gobernanza en un sentido general en un primer momento, porque vamos a aplicar la

gobernanza de los datos personales y por una parte habría que atender a la

gobernanza en internet como tal y luego específicamente, a la gobernanza

de la protección de datos personales y algunas cuestiones importantes.

Es necesario que tenga en consideración que utilizamos el término datos personales

como sinónimo de información personal, que utilizamos también el derecho a la

protección de datos personales o entendemos también el derecho a la

protección de datos personales como sinónimo a la privacidad, que ambos

términos convergen en el punto o ambos derechos que convergen en el punto en el

que de lo que se trata, es de proteger a la persona física frente al tratamiento

ilícito de sus datos personales, frente a un uso ilícito de sus datos personales y

ello nos va a permitir comprender algunas cuestiones relevantes de la gobernanza

en materia de protección de datos personales. En ese sentido, tenemos que

comenzar también haciendo una referencia o atendiendo específicamente

a la evolución de la protección de datos personales a lo largo de las décadas; es

un derecho que ha ido evolucionando con el paso de las décadas y también de

diferentes maneras en diferentes lugares o regiones alrededor del mundo.

Atender específicamente los instrumentos internacionales que existen en esta

materia y atender también específicamente al contenido de esas

normas para luego poder comprender o entender también el significado y

alcance del derecho a la protección de datos personales como tal.

Otras cuestiones a las que se atienden específicamente en este módulo, como

decía anteriormente la gobernanza de internet como concepto general que nos

va a permitir entender luego el concepto de gobernanza de los datos personales como

tal, también a otras cuestiones como las bases o condiciones de legitimación

del tratamiento de los datos personales a las que ahora me voy a referir

específicamente o incluso a si existe un derecho de propiedad sobre los datos

personales y atender específicamente a esos conceptos que son necesarios

entender para ver el alcance de la aplicación de la normativa y de los

diferentes instrumentos en materia de protección de datos personales.

Con respecto a esas bases de condiciones de legitimación de tratamiento de los datos

personales, es algo importante conocer específicamente ya que es esencial para

ver las implicaciones en materia de protección de datos personales; todos

conocemos, todos hablamos prácticamente de manera continua, que el tratamiento de

nuestros datos personales tiene que producirse con nuestro consentimiento,

bueno el consentimiento es una de las bases de legitimación del tratamiento de

los datos personales o uno de los fundamentos de legitimación de este

tratamiento de datos personales pero no siempre es aplicable ni tampoco es la

única, existe toda otra serie de bases o de fundamentos de legitimación del

tratamiento de los datos personales que tenemos que conocer; tampoco existe una
una preeminencia o una relación jerárquica entre las mismas o estar

firmando contrato de trabajo y esa sería el fundamento de la legitimación del

tratamiento de los datos personales o cumplir con una obligación legal

y tener que tratar datos personales o incluso también el interés legítimo que

obviamente es muy relevante y que cada vez se aplica más, porque obviamente es

uno de los análisis que tenemos que realizar a esos efectos; por tanto, de lo

que se trata en este módulo es ya tener a todas esas cuestiones de gobernanza en

materia de protección de datos personales, reflexionar también específicamente sobre

los diferentes aspectos, incluso se plantean algunos temas para meditar y obviamente es

importante también realizar las actividades que se proponen a lo largo

del módulo, que usted pueda también ver los avances de su estudio a través

de las pruebas que se están planteando, sea en algún caso algún ejercicio

tipo test para responder y obviamente pues poder aprender las bases de la

gobernanza en materia de protección de datos personales para posteriormente

aplicarlas e incluso, si ya las está aplicando, poder reflexionar sobre

algunas cuestiones importantes.

Análisis I ¿Por qué debes pensarte como regulador o
autoridad de la protección de datos personales?

https://courses.edx.org/courses/course-
v1:JaverianaX+GDD1.2x+3T2019/courseware/2f896e8a4d924fd0979a0c3ee3e47277/dc29874
134794a06b7ec713cca2b0d06/?child=first

Si eres cliente de tecnología, es decir, si compras licencias, consumes o usas

servicios relacionados con este sector o eres proveedor de tecnología debes

pensarte como un regulador o autoridad de protección de datos personales.

¿Por qué? por qué quienes diseñan normas o

regulaciones de protección de datos personales, así como quienes las aplican,

esperan no sólo el cumplimiento de la norma sino la efectiva protección de los

datos personales o de los derechos de los interesados.

De modo que se espera que realices una debida diligencia y no sólo sepas de

protección de datos personales sino que tu organización sea privada o pública,

implemente medidas y procesos para asegurar la protección de los distintos

intereses sobre los datos personales y además demostrarlo.

Dentro de las expectativas de los reguladores y autoridades de protección

de datos, más allá del cumplimiento de la norma, está que los actores digitales

evalúen el riesgo derivado del procesamiento o tratamiento de datos

personales así como que implementen medidas para mitigar esos riesgos.

Se espera por ejemplo que conozcas: 1. Si tratas o no datos personales, de

quién son, cómo son los flujos de datos personales en su organización.

2. Dónde están guardados o bajo qué modelo de computación.

3. Si están seguros, qué medidas de seguridad se han implementado y qué

medidas de seguridad deben implementarse 4. Para qué tú o la organización en la

que trabajas tratan los datos personales, con qué finalidades, de qué maneras, si

delegan en terceros algún punto del tratamiento.

5. Si compartes los datos con terceros, por y para qué y cómo lo haces.

6. Cómo la organización en la que trabajas puede responder a incidentes de

seguridad o acceso no autorizado sobre los datos personales que trata.

7. Cómo garantizas los derechos de las personas sobre los datos personales.

El cumplimiento de las normas es tan importante como la realización de

procesos que no están escritos en las normas, los cuales facilitarán en todo

caso el cumplimiento de las mismas; para poder planear y diseñar las medidas

necesarias para tu organización, primero es necesario que te sitúes en los zapatos

del regulador, entender sus preocupaciones y su punto de vista y anticiparte.

Instrumentos internacionales

Aunque a nivel internacional se han desarrollado algunos instrumentos en materia de

protección de datos, no existe un instrumento global.

Fueron adoptadas en 1980 y revisadas en 2013 (34). Estas recomendaciones pueden servir de
guía tanto para los países miembro de la OCDE como para los países que quieran adoptarlas y
tratan, entre otras, cuestiones relativas a los principios de la protección de datos personales y,
en particular, la implementación práctica de los programas de gestión de la protección de
datos, además de la cooperación entre las autoridades de protección de datos.
 En este último sentido, la OCDE adoptó también, en 2007, una Recomendación sobre la
cooperación transfronteriza en la aplicación de las leyes sobre protección de datos. (35). El
objetivo de esta recomendación es fomentar la cooperación internacional entre autoridades
de protección de datos, habiendo dado lugar a la creación de la Red Global de Aplicación de la
Protección de Datos (en inglés, Global Privacy Enforcement Network, GPEN). (36).

El segundo instrumento internacional fue el Convenio 108 del Consejo de Europa, en 1981,
para la protección de las personas con respecto al tratamiento automatizado de los datos de
carácter personal.

Hecho en Estrasburgo el 28 de enero de 1981. A diferencia de las recomendaciones de la

OCDE, el Convenio 108 fue el primer Convenio internacional jurídicamente vinculante en
materia de protección de datos, lo que suponía que los Estados que accedieran al mismo se
obligaban a adoptar las garantías previstas en su articulado. Y aunque inicialmente solo
accedían a este los Estados parte del Consejo de Europa (37), posteriormente se abrió a que
cualquier país pudiera adherirse, lo que han hecho países como Uruguay, México y Argentina.

Este convenio fue actualizado en 2018, dando lugar al Convenio 108+ para la protección de las
personas con respecto al tratamiento de datos personales.

Para recordar
¿Qué es el derecho a la protección de datos personales?
Como se mencionó al principio de este mooc, privacidad y protección de datos
se pueden utilizar como sinónimos si bien cada concepto tiene contenidos y
desarrollos que pueden ser diferenciados. En este sentido, el derecho a la
protección de datos tiene por objeto garantizar el tratamiento lícito de los datos
personales. 

¿Cuándo y dónde surgieron?

El primer instrumento legal a nivel internacional fue la Declaración de los
Derechos Humanos, en 1948. 

¿Cómo han evolucionado alrededor del mundo?

Su evolución ha sido constante consecuencia de la evolución tecnológica que
se ha producido en particular desde finales del siglo XVIII, lo que ha dado lugar
a rápidos cambios legislativos y jurisprudenciales que han ido definiendo el
concepto y contenido del derecho a la protección de datos. En Estados Unidos,
por ejemplo, en 1782, El Congreso adoptó una ley para proteger el contenido
de las comunicaciones postales. En Europa, algunos de los actuales Estados
miembros de la Unión Europea fueron adoptando sus normas sobre protección
de datos en los años 70. En América Latina y Asia, esta adopción ha
transcurrido finalizando la década de los 90.

Diferencias entre gobernanza y gestión de datos

La diferencia entre gobernanza y gestión puede resumirse, conforme a lo indicado por

UNESCO, como: (42)

Instrumentos legales para cumplir con la protección de datos

En cuanto a la adopción de medidas para cumplir con los requisitos en materia de

protección de datos o privacidad, según corresponda, esta puede tener diversas
fuentes. En particular, cabría mencionar que esta obligación puede ser exigible en
virtud de los siguientes instrumentos:
Por tanto, aplicada a la protección de datos, la gobernanza se refiere al
cumplimiento por parte de quien trata los datos personales, tanto el
responsable como el encargado del tratamiento, y alcanza a todas las fases del
tratamiento, con independencia de que el responsable trate los datos
personales por sí mismo o encomiende dicho tratamiento a un encargado del
tratamiento. En este último caso el encargado del tratamiento quedará sujeto al
cumplimiento de las obligaciones que le sean exigibles y que pueden derivar de
la normativa aplicable o de las otras fuentes indicadas, incluida la contractual.

IMPORTANTE
Como vimos, cada organización es la que debería determinar
cuáles son las medidas a adoptar e implementar, ya que si se
establecen requisitos prescriptivos pueden no responder a la
realidad y, en última instancia, convertirse en una barrera
administrativa para los emprendedores, las microempresas y
las pequeñas y medianas empresas. Además, deben tenerse
en cuenta las cuestiones específicas que se dan en
determinados sectores ya que, en ocasiones, las leyes no alcanzan a responder
adecuadamente por la complejidad del proceso legislativo.

Un programa de cumplimiento en materia de protección de datos,

convenientemente adoptado, implementado y respaldado por el  más alto nivel
jerárquico de la organización puede servir también para demostrar la
responsabilidad de la organización. 

 Se trata, en definitiva, de que se base en controles que permitan demostrar

que las medidas adoptadas son efectivas. Estos controles, así como el propio
programa de cumplimiento, tendrá que ser actualizado de manera continua y
deberá ser revisado, en particular, cuando se identifique algún riesgo.

RECUERDA QUE
El responsable y el encargado del tratamiento tendrán que adoptar medidas técnicas y
organizativas para garantizar que los datos personales sean tratados de manera
adecuada. Estas medidas deberían ser documentadas, entre otras cuestiones para
demostrar su adopción, a través de un programa de cumplimiento en materia de
protección de datos. 

Reglamento General de Protección de Datos (RGPD)

El Reglamento General de Protección de Datos (RGPD) en la Unión Europea

incluyó los “intereses legítimos” dentro del listado de causas por las cuales es
posible, para esos actores, hacer el tratamiento de información de clientes, usuarios,
empleados, e interesados en general. El uso de esta causal de “intereses legítimos” no
se limita a ser un criterio subsidiario y, más bien, su uso responde a un análisis
concreto realizado por los responsables, quienes deciden si en cada caso este
concepto aplica o no.

A modo general, esta innovación del RGPD de incluir esta y otras bases legítimas para
el tratamiento de datos personales es un logro positivo para facilitar algunos de los
razonables tratamientos de datos personales que ocurren en el mundo digital, que son
consistentes y consecuentes con los intereses y expectativas que los interesados
tienen al usar las herramientas digitales o, en general, al hacer parte del mundo digital.
Esta flexibilidad, por el otro lado, es compatible con los intereses de las personas
físicas sobre quienes se tratan datos personales quienes, en todo caso, siguen
gozando de sus derechos sobre los datos personales, y las organizaciones y todo
aquel que dé tratamiento a la información está en la obligación de velar por estos
derechos e intereses.  

Una segunda base legal de intereses legítimos sería la Information Commissioner’s

Office del Reino Unido – ICO. Consulta características  y definición de ICO, a
continuación. 
Information Commissioner’s Office (ICO)

Tal como lo menciona el Information Commissioner’s Office del Reino Unido

-ICO, la base de “intereses legítimos” es la más flexible para dar tratamiento a
datos personales, y puede que sea inclusive la más apropiada cuando un
responsable y sus encargados van a dar tratamiento a datos “en maneras que
ellos razonablemente esperarían y que tienen impacto mínimo, o cuando hay
una justificación convincente para el tratamiento” (43). 

Esto no quiere decir que en todos los casos sea la base legal más apropiada,
ya que en todo caso requiere un análisis por parte del responsable, quien debe
entonces responder por esa decisión y en todo caso proteger los derechos de
los interesados. 

El ICO propone un test para establecer si los “intereses legítimos” aplica o no al

caso concreto: 

1. Identificar un interés legítimo que puede o no ser propio de la organización

(puede ser de clientes a los que se les esté prestando un servicio, y pueden ser
comerciales, individuales o sociales). 

2. Mostrar que el tratamiento de los datos es necesario para lograr ese interés
legítimo (es decir que si hay otra manera razonable de lograr ese interés que
no sea ese tratamiento, esta causal no aplicaría).

3. Balancear ese interés de la organización con los intereses, derechos y

libertades de los interesados (por ejemplo, no causar daño a la persona física
de la que se tratan datos personales).

Consentimiento

El “consentimiento” como base legal para el tratamiento de la información,

entonces, mantiene una aplicación para los casos donde existen mayores
riesgos para los interesados, por ejemplo, cuando no hay una expectativa de
un tratamiento para lograr un resultado al usar un servicio digital. 

Una de las preocupaciones del los reguladores y las autoridades de protección

de datos es que el consentimiento no debe ser la única forma, porque resulta
en algunos casos impráctico pues las personas sobre quienes se tratan datos
personales se ven obligados a leer cientos de políticas de privacidad para
poder dar su “consentimiento informado” haciendo “opt-in” (optando entrar, en
español) en cada caso.  
 Es importante señalar que el uso de cualquiera de las justificaciones legales
para el tratamiento debe reflejarse y soportarse en la existencia de un
programa robusto de protección de datos personales. 

¿Son propiedad del interesado o son datos personales que se refieren al

mismo? 

La cuestión relativa a si los datos personales pertenecen a alguien es

realmente compleja y requiere tener claros algunos conceptos. Uno de los
conceptos clave es el relativo al de posesión. Si atendemos al diccionario de la
Real Academia Española de la Lengua, una de las acepciones de posesión es:

“2. f. Acto de poseer cosas incorpóreas, aunque en rigor no se posean”.  

Y otra de las acepciones, relevante por lo que se refiere a interpretar el derecho

a la “propiedad” de los datos personales, es:

 “6. Der. Situación de poder de hecho sobre las cosas o los derechos, a la que
se otorga una protección jurídica provisional que no prejuzga su titularidad.”

Análisis I Los datos personales de Mario

Intereses legítimos para justificar el tratamiento de datos personales en el

mundo digital. Como ya lo has estudiado,

el tratamiento de datos se puede realizar cuando existe una justificación

o base legal para hacerlo, ello puede variar según la legislación de cada país,

sin embargo existen por ejemplo, las siguientes bases que autorizan el

tratamiento de datos personales: El consentimiento.

Los intereses legítimos, de acuerdo con el test de information

commissioners office también conocido como ICO.

Obligaciones legales o contractuales específicas.

En todos los casos el responsable del tratamiento de los datos personales, debe

analizar el impacto que tendrá el tratamiento de datos en los derechos de los interesados

y así definir qué tipo de base legal requiere para realizar el tratamiento e

implementar las medidas adecuadas para garantizar los derechos.

¿cómo se aplicarían estos conceptos en la vida cotidiana?

Es lo que analizarás en el siguiente caso: acontinuación escucharás

algunos ejemplos donde se podría usar la base de intereses legítimos para

justificar el tratamiento de datos personales en el mundo digital.

Mario compra un computador, espera que el proceso de configuración del mismo sea

fácil y amigable para él y que sea lo suficientemente corto para que pueda

empezar a usarlo para las funciones y actividades que planteó desde un comienzo.

Ahora es razonable pensar que así como Mario, cualquier persona que compra un

computador espera procesar texto, usar programas de computación, software o

diseñar, procesar fotos, juegos, usar las capacidades de procesamiento de

información embebidas en el computador mismo, para acceder a herramientas en

línea que le permitan realizar acciones como ver contenido digital, enviar

correos electrónicos, entrar a redes sociales y navegar en internet; todos

esos usos requieren del procesamiento de datos personales que en este caso serían

de mario, quien compró el computador pero también de muchos otros interesados que

pueden encontrarse en archivos o servicios que ese comprador ha creado o

generado. El fabricante del computador, que es quien ha diseñado y cargado el

computador con todas sus funcionalidades para que logre cumplir con las

expectativas de Mario así como otros productores de servicios y programas que

pueden estar pre cargados en el computador, están llamados a realizar el

análisis sobre si el tratamiento de datos personales que se espera de ellos,

se ha de basar en los intereses legítimos de su organización, del usuario

del computador, de socios comerciales por ejemplo o si es necesario solicitar el

consentimiento del comprador del computador y en qué casos.

En este ejemplo se requiere del tratamiento de datos personales sin

riesgo de daño para Mario, tanto para que el computador funcione para lo que

necesita como para que los productores del sistema operativo y del software o

apps puedan continuar mejorando sus servicios y sistemas; es importante

resaltar que en el mundo en línea que está documentada la necesidad de rapidez

y concreción en el uso que una persona hace de una herramienta cuando un

usuario debe cumplir múltiples pasos para lograr un objetivo pequeño, se

pierde su atención y se le disgusta de alguna manera.

Este factor es importante a la hora de establecer las mejores prácticas en

materia de protección de datos personales, ya que todos los aspectos

redundan en el mejor beneficio para el interesado que en últimas puede ser el

mismo usuario de las herramientas digitales.

Resumen:

La evolución del derecho de protección de datos personales en diversos países y regiones

alrededor del mundo permite ver cómo la innovación tecnológica ha planteado continuamente
la necesidad de que la normativa evolucione, aunque se ha mantenido en un plano reactivo y
enfocada, principalmente, en sí se produce una infracción de este derecho que cause un daño
a la persona física.

Los derechos a la protección de datos y a la privacidad son esenciales en Internet, ya que

permiten generar confianza en los usuarios, evitar un tratamiento ilícito de datos personales,
así como intromisiones ilegítimas en la privacidad. Así pues, la protección de datos personales,
sin ser un derecho absoluto, es un valor importante para una innovación tecnológica
responsable.

La gobernanza de datos personales se refiere al cumplimiento (o compliance en inglés) en

materia de protección de datos por parte del responsable o encargado, que es quien trata los
datos personales; y alcanza a todas las fases del tratamiento: la recolección, almacenamiento,
procesamiento, uso, destrucción. Si deseas profundizar en el estudio de estas fases, te
recomendamos inscribirte y cursar el mooc 1. “Protección de datos personales en la era
digital”.

Un programa o manual de cumplimiento en materia de protección de datos,

convenientemente adoptado, implementado y respaldado por el más alto nivel jerárquico de
la organización puede servir para demostrar la responsabilidad de la organización.

Si bien el consentimiento es una de las bases legales más conocidas para habilitar el
tratamiento de datos personales por parte de responsables y encargados, no es la única de
ellas.

El “consentimiento” como base legal para el tratamiento de datos personales debe aplicar en
los casos donde existen mayores riesgos para los interesados. Por ejemplo, cuando al usar un
servicio digital no hay una expectativa de tratamiento de los datos personales para lograr el
resultado esperado, se considera que hay mayor riesgo para el interesado y, por tanto, se
requiere su consentimiento. ¿Recuerdas a Mario? En su caso, sí hay una expectativa de que
van a tratar sus datos porque esto es necesario para poder instalar los programas en el PC.
Aunque es importante aclarar que todo depende de la legislación particular de cada país. Se
debe tener en cuenta que el consentimiento resulta impráctico en algunos casos pues los
interesados se ven obligados a leer cientos de políticas de privacidad para poder dar su
“consentimiento informado”, lo que puede no resultar en una protección efectiva de sus
derechos.

Que los datos personales sean sobre o relativos a una persona no quiere decir que le
pertenezcan, aunque la identifiquen. Si una información identifica a una persona física será
considerada dato personal sin que suponga que sea propiedad de esta. En su caso, la persona
a la que se refieren los datos personales puede ejercer los derechos que le reconoce la ley ante
el responsable que trata los datos personales. Estos derechos, tales como los de acceso,
rectificación, supresión, etc., confieren al interesado la posibilidad de asegurarse que el
tratamiento sea lícito. Si deseas ampliar se puede hacer referencia al mooc 1 módulo 2 donde
este tema está más desarrollado).