Módulo 1

Nociones fundamentales sobre protección

de datos personales

Autor
Miguel Recio
2019

La Dirección de Educación Continua de la Pontificia Universidad Javeriana no se hace responsable por el manejo que se le dé a la
presente información. La misma no representa una asesoría jurídica en la materia, tiene una intención reflexiva y académica.
 1

1. Protección de datos personales en la era digital: el caso de María

María es abogada y se ha comprado una computadora nueva. Cuando llega a casa, después
de trabajar, se conecta aiInternet y visita varias tiendas online y sitios web de comercio
electrónico donde ve productos como ropa, bolsas, zapatos, perfumes, etc.; ella, suele
usar su buscador favorito para encontrar productos que pueden ser de su interés, lee sus
mensajes de correo electrónico, actualiza sus redes sociales y se mantiene en contacto
con sus amigos y amigas.

Hoy, antes de llegar a casa, María desayunó, como todos los días, en una cafetería que
hay cerca de su trabajo. Alfredo, el camarero, ya conoce los gustos de María y para
cuando ella había llegado ya le había preparado un plato de fruta y un capuccino en el
que había dibujado la cara de un gatito. En el trabajo, sus compañeros le han preguntado
cómo van sus planes de viaje a Japón el próximo verano. Para el momento del almuerzo,
María ha ido a su tienda favorita de complementos de moda donde Carla, sabiendo que le
gustan los accesorios artesanales, le muestra algunos que acaban de llegar a la tienda y
le comenta que en breve le llegarán nuevos accesorios. María le pide a Carla que le avise
cuando los reciba.

Además, María ha tenido excelentes noticias en el trabajo porque su supervisora le ha

comentado que ha obtenido muy buenos resultados en la última evaluación anual de los
clientes y sus compañeros. Esto implica que va a recibir un aumento de salario y que,
como premio, podrá disfrutar de un día más de vacaciones.

Antes de llegar a casa, María compra su cena. En la tienda ya saben que suele pasar a las
19:00 h, de manera que tratan de tener preparadas algunas cosas que siempre se lleva
para facilitarle la compra. Como es una clienta habitual, y con la finalidad de que no pierda
tiempo, la tienda le va a ofrecer que pueda pagar mensualmente sus compras, para lo que
cada día se irá guardando el ticket con el detalle de cada producto que ha comprado.

Ya que se trata de una tienda que lleva varias décadas sin cambio alguno, su dueño ha
decidido preguntarles a sus clientes cuál sería el cambio que esperan y por eso, lleva a
cabo una encuesta.

¿La actividad en línea (online) y fuera de línea (offline) implica un tratamiento

de datos personales? ¿Existe alguna diferencia en los tratamientos de
datos personales?

Temas para meditar...

Antes de profundizar en algunas cuestiones clave sobre el derecho a la protección de

datos personales, es importante considerar algunas preguntas relevantes que ayudarán a
comprender su significado y alcance:

¿Cuándo es considerada una información como dato personal? ¿Es siempre una 2
información un dato personal?

¿Qué implica que se traten datos personales? ¿Cómo tiene que ser el tratamiento
de datos personales? ¿Qué principios tienen que darse en el tratamiento de los
datos personales?

¿Qué es el derecho a la protección de datos personales? ¿Es un derecho absoluto,

es decir, aplica siempre?

Si reflexionamos sobre el caso de María, cuando utiliza Internet, visita sitios web o hace
uso de otros servicios electrónicos, tiene derecho a que sus datos personales sean tratados
de manera lícita y legítima, pudiendo ejercer sus derechos y, en caso de incumplimiento,
dirigirse a una autoridad de protección de datos o judicial, según corresponda en cada
caso, para reclamar.

Esto ocurre porque María tiene derecho a la protección de datos personales, lo que,
en algunos países y/o regiones alrededor del mundo se conoce también como derecho
a la privacidad, referida a su información personal. Se trata de conceptos que pueden
tener características propias en cada país o región que deben ser tenidas en cuenta,
considerando en particular los enfoques, por un lado, como derecho fundamental o
humano y, por otro lado, como protección del consumidor.

La organización que trate los datos personales, ya sea una tienda online o una entidad
pública por medios electrónicos, tiene el deber de hacerlo respetando el derecho humano o
fundamental. No obstante, es importante tener en cuenta que no es un derecho absoluto
o ilimitado. Es decir, puede ser necesario, por ejemplo, tratar los datos personales de
María para cumplir con una obligación contractual de la organización o con una obligación
legal establecida en las leyes, de manera que el consentimiento de María no siempre
será el fundamento de legitimación del tratamiento de sus datos personales.
Además, hay situaciones en las que este derecho no es aplicable.

El derecho a la protección de datos no es un derecho absoluto o ilimitado, sino

que está sujeto a los límites previstos en la ley, que protege también otros derechos
e intereses legítimos tales como la libertad de expresión, la propiedad intelectual o la
salud pública.

El tratamiento de los datos personales, como veremos, puede ser necesario para, por
ejemplo, tramitar y entregar el pedido de María, ofrecerle información sobre dónde está su
pedido, atender una reclamación de María, responder dudas o cuestiones sobre su pedido,
así como mejorar el proceso de compra para que María pueda acceder y hacer uso de un
excelente servicio la próxima vez. Es así como cualquier referencia a la protección de datos
personales y a la privacidad, salvo si se indica lo contrario, debe entenderse hecha al derecho
a la protección de datos personales.

A continuación, se verán varias cuestiones relevantes sobre la protección de datos

personales en la era digital, comenzando con algunas nociones fundamentales. El objetivo 3
es comprender cuál es el significado y alcance del derecho a la protección de datos
personales. Esto implica saber qué son los datos personales y distinguir entre las figuras
de responsable y encargado del tratamiento, así como qué es una transferencia y una
remisión o transmisión de datos al exterior, la anonimización y seudonimización de datos,
entre otras cuestiones.

Es importante saber cuál es el contenido del derecho a la protección de datos, es decir,

los principios y derechos de la protección de datos, así como otras cuestiones. Esto
permitirá poder, por último, profundizar en algunos temas clave sobre la protección de
datos personales en la era digital, tales como la (r)evolución digital, la transparencia en el
tratamiento de datos personales, el tratamiento de datos personales relativos a menores
de edad o la necesidad de un enfoque que responda a las dinámicas que se producen en
la era digital.

1.1 ¿Qué son los datos personales (o información personal)

1.1.1 Los datos como insumo necesario para el desarrollo de la

sociedad y economía digitales
Los datos, personales o no, han sido tratados por el hombre desde la antigüedad, teniendo
un impacto relevante para la sociedad y la economía que, actualmente, son digitales.

La elaboración de censos de población o el cómputo de impuestos o tributos son solo algunos

ejemplos de tratamientos de datos realizados desde hace siglos por los gobiernos. Pero
desde el principio de los tiempos, las relaciones comerciales y civiles también implicaron el
tratamiento de datos personales de ciudadanos, vecinos, clientes, negociantes, y demás.
La realidad actual es que el volumen de datos recolectados, pero también generados, ha
aumentado exponencialmente por la interacción de las personas por medios electrónicos y
se ha convertido en un insumo clave para el desarrollo de la sociedad y economía digitales.

Sin datos (de todo tipo, es decir, personales o no) no sería posible saber qué recursos
tienen que asignar las administraciones públicas en materia de sanidad o educación, sería
difícil luchar contra la corrupción, el costo de los créditos habría aumentado porque el
riesgo de impagos es más difícil de medir o los servicios serían más costosos por el riesgo
de fraude. Además, el tratamiento de datos es la clave para el futuro de la sociedad y
economía digitales, ya que los datos son tanto un insumo como un producto esencial.

El mundo ha cambiado profundamente. El siglo pasado, el tratamiento de la información

de las personas iniciaba generalmente por algunos datos personales facilitados por la
persona, y las empresas y gobiernos realizaban análisis precarios que les permitían inferir
o deducir ciertas otras informaciones necesarias para el cumplimiento de sus objetivos. En
la actualidad, el tratamiento analítico de datos masivos es posibilitado de manera eficiente
y mucho más rápido gracias a las tecnologías emergentes, lo que ha producido un cambio
radical ya que de la “recolección de datos” se ha pasado a la “generación de datos” a partir
de información que, por sí sola, resultaría intrascendente.

Sin datos, la innovación que caracteriza el avance de las sociedades se frenaría. Un 4

freno a la innovación supone tanto para la economía (que ahora es digital), como para
la sociedad y la persona, que se verían privadas de avances significativos y sustanciales,
y de la posibilidad de cerrar brechas de educación, salud, justicia, y sociales en general.
Unido con esto último, sin el tratamiento de datos posibilitado por las tecnologías digitales
emergentes de comunicación e información, sería difícil alcanzar el objetivo de una sociedad
más innovadora e inclusiva.

En relación con los datos y los datos personales, es necesario considerar primero
algunas cifras interesantes.

¡Datos, datos y más datos!

Según algunas estimaciones1, la cantidad de datos generada en el mundo se

duplica cada año y se espera que aumente de 4.4 zettabytes (lo que equivale a 4.4
trillones de gigabytes) en 2013 a 44 zettabytes en 2020. Un zettabyte es 1,000
000,000,000,000,000,000 de bytes o unidades de información. Es decir, en siete años
la cantidad de datos generados en el mundo se multiplicará por 10. Los datos son,
actualmente, el insumo necesario para el desarrollo de la economía y sociedad digitales.
 Cada vez más dispositivos conectados a Internet

Según las estadísticas2, en 2018 había 23.14 billones de dispositivos conectados a

Internet, siendo 3.9 billones el número de usuarios de Internet3. Esto significa que
el número de dispositivos conectados a Internet supera al de personas. Y algunas
estimaciones prevén que en 2025 el número de dispositivos conectados a Internet
sea de 75.44 billones.

Datos (no personales) y datos personales

Una información puede ser, según el caso, un dato personal o no personal. Es

importante saber que, siendo la información un dato personal, hay información que
puede ser necesaria, entre otras cuestiones, para cumplir con una obligación legal,
un contrato, etc., o puede que su tratamiento se lleve a cabo con el consentimiento
del interesado, o inclusive puede darse tratamiento a esa información sobre otras
bases que lo legitiman, como sería el interés legítimo. El consentimiento es una, pero
no la única, base o justificación que legitima el tratamiento de datos personales.

1.1.2. ¿Qué son los datos personales?

Temas para meditar...

¿Es cualquier información un dato personal? ¿Qué implica que una información sea un
dato personal? ¿Que sea un dato personal implica que siempre sea aplicable la normativa
sobre protección de datos?

Concepto: un dato personal puede ser definido como toda o cualquier información 5
relativa o concerniente a una persona física o natural que esté identificada o pueda ser,
razonablemente, identificada.

Interpretar que una información siempre es un dato personal podría dar lugar a una
aplicación desproporcionada de las leyes sobre protección de datos, incluso a casos no
previstos en estas.

Es decir, puede resultar difícil determinar qué tipos de datos deberían ser considerados como
datos personales en un contexto específico. ¿Son siempre datos personales los relativos a
la conexión a Internet por parte del usuario de ese servicio, incluso si una información se
refiere a la conexión a Internet por parte de personas físicas? ¿Esa información es siempre
objeto de las leyes de protección de datos personales?

Nótese aquí que, a pesar de que se trata de una definición muy amplia en su formulación,
el hecho de estar ante datos personales no parece ser el único criterio que debe seguirse
en la aplicación de la normativa de protección de datos personales ya que cada caso o
circunstancia tendrá particularidades adicionales que requieren análisis.
 ¡Importante! El concepto de dato personal o información personal es muy amplio. Esto
debe tenerse en cuenta al aplicar las leyes de protección de datos por las implicaciones
que puede tener tanto para quien trata datos personales como para el interesado.

Ejemplo 1
¿Qué es un dato personal o qué no lo es?

Una dirección IP es una etiqueta numérica asignada a cada dispositivo (una computadora,
tableta, celular inteligente, etc.) conectado a Internet que utiliza el protocolo de Internet
(en inglés, Internet Protocol, IP) para comunicarse.

En el pasado existían direcciones IPv4, mediante un número binario de 32 bits, en la forma

A.B.C.D, teniendo cada uno de los números un valor entre 0 y 255 como, por ejemplo
23.210.20.143. Actualmente existen direcciones IPv6, compuestas por 128 bits como, por
ejemplo, 2001:0123:0004:00ab:0cde:3403:0001:0063.

¿De qué depende que una información sea considerada como dato personal?

El criterio por considerar, para determinar si una información es un dato personal, es que
dicha información identifique o haga identificable a una persona física. Hay que
considerar los dos siguientes ejemplos:

La información producida por una empresa de e-Commerce relativa al número de

6
ventas realizadas por su sitio web, asociando las ventas a una dirección IP. En este
caso, el hecho de que no se está identificando ni se está haciendo identificable a un
comprador que sea persona física debe ser tenido en cuenta. En efecto, es posible
pensar que puede haber también compras hechas por empresas (en inglés, Business
to Business, B2C), lo que implica que, habiendo dirección IP, no se produzca un
tratamiento de datos personales.

Las compras hechas por María en un sitio web de comercio electrónico, siendo dicho
tratamiento de datos personales necesario para que este cumpla con la transacción
realizada y le envíe a María lo que pidió, cuando lo pidió y realice el cobro y demás
servicios ofrecidos a María en el sitio web. En este caso, puede que se trate del
tratamiento de datos personales. No obstante, si se anonimiza la información relativa
a las compras hechas por María y deja de haber información que identifique o
haga identificable a María, el resultado no será ya considerado un dato personal,
lo que significa que no sea aplicable la normativa sobre protección de datos.

Otros ejemplos en los que una dirección IP puede o no ser un dato personal:

Log de auditoría del uso de la intranet por una organización. Una organización
mantiene un log de auditoría del uso web que hacen sus empleados de su intranet.
 En este log se registra la dirección IP del usuario, la fecha y la hora en la que
el usuario ha accedido al sitio web y las páginas web o temas a los que ha
accedido en la intranet. Al respecto, el log no contiene datos personales porque
la información tratada no permite identificar a qué empleado se refiere. No
obstante, si existiera la posibilidad de consultar otra base de datos en la que se
trata la identidad de cada usuario y la correspondiente dirección IP, se tendría
que concluir que sí hay tratamiento de datos personales. Es decir, si se identifica
o puede identificar a una persona física a la que se refiere la información, se
trata de un dato personal.

La dirección IP asignada a un computador en un cibercafé. En este caso, salvo que

se identifique previamente a cada usuario que hace uso del computador, no sería
posible la misma.

Conclusión: una dirección IP, así como otro tipo de datos o informaciones no siempre
son un dato personal. Que un dato o información sea o no “dato personal” depende de
que identifique o haga identificable a una persona física, lo que puede requerir además
que esté vinculada a información adicional u otras fuentes de información, en particular
la identidad del usuario.

1.1.2.1 ¿Cuáles son los elementos de la definición de datos personales?

Para identificar los datos personales es fundamental que se den cuatro elementos, que son
los siguientes.

Los cuatro elementos del concepto de datos personales:

1. “Toda o cualquier información”. 7

2. “Sobre”, “relativa a” o “concerniente a”.
3. “Una persona física”.
4. “Identificada o identificable”.

El concepto de dato personal es muy amplio ya que, en principio, “toda o cualquier

información”, sea objetiva o no, veraz o no, será considerada como “dato personal”
cuando se refiere a una persona física. Es decir, la naturaleza de la información es
irrelevante ya que cualquier información relativa a una persona física sería considerada
como dato personal.

Al indicar “toda o cualquier información”, lo que busca el legislador es que el alcance

de la normativa sobre protección de datos personales sea muy amplia, pero esto no
significa que su alcance sea absoluto. Puede haber situaciones en las que, aún habiendo
datos personales, existan exclusiones a la aplicación de la normativa sobre protección
de datos personales que determinen que la información no puede ser considerada como
“dato personal”. Por ejemplo, la información relativa al funcionamiento de un servicio
electrónico que sirve para medir si se está proporcionando de manera adecuada o si son
necesarios más recursos, no son datos personales. Se trata de información meramente
técnica y necesaria para la prestación del servicio.
“Sobre”, “relativa a” o “concerniente a” significa que el dato tiene que proporcionar
información sobre o relativa a una persona física. Da igual cual sea la forma, por
ejemplo, alfabética, numérica, gráfica, fotográfica o sonora, así como el soporte, sea
en papel o automatizado. Por ejemplo, la edad, si se refiere a una persona física, será
dato personal cuando se cumplan los elementos de la definición. Por el contrario, la
edad no será dato personal cuando es un dato estadístico sin que permita identificar a
una persona física.

La información, para que sea considerada como dato personal, tiene que referirse
a una “persona física”. Se trata de cualquier persona física a la que se refieran
los datos personales, con independencia de si es un ciudadano o no, por ejemplo,
alguien que se encuentra de vacaciones en el país donde se aplica la normativa sobre
protección de datos, de si es mayor o menor de 18 años u otro límite de mayoría de
edad aplicable, u otras consideraciones. Si la información o el dato no es sobre una
persona física, sino, por ejemplo, sobre una persona jurídica, no será considerada
como dato personal.

Finalmente, la persona física tiene que ser “identificada o identificable”. Es

decir, una información o dato puede identificar directamente a la persona física, por
ejemplo, su nombre y apellidos, fotografía, etc., y será identificable cuando se pueda
reconocer a la persona física a partir de una o más informaciones que se tengan de
la persona, o se pueda individualizar a la persona dentro de un grupo a partir de
esa información. Por ejemplo, se puede identificar a la persona física a partir de su
número de pasaporte o se la puede individualizar dentro de un grupo a partir de
características físicas.

1.1.2.2. Entonces, ¿de qué depende realmente que una información

sea un dato personal? 8

Que una información sea considerada o no un dato personal depende de los elementos
anteriores y, sobre todo, de que se pueda identificar a la persona física, individualizándola.
Es decir, se trata de que la persona física a la que se refiere la información quede
identificada, lo que en el entorno electrónico puede ser muy complejo en multitud de
ocasiones porque, en muchas circunstancias, no es posible identificar si el usuario es
una persona física, una empresa o un robot (también conocidos como bot), que es un
programa informático que realiza automáticamente tareas repetitivas.

La respuesta es, por tanto, compleja ya que puede requerir considerar diversos factores
considerando el contexto en el que se tratan los datos personales como, por ejemplo,
de quién se busca obtener los datos personales, qué información se pide, si se aplican
técnicas de anonimización, etc. El tratamiento automatizado de los datos personales da
lugar a la siguiente tipología o clasificación:
 1.1.3. ¿Qué implica que una información sea un dato personal o no?

Actualmente la aplicación de las leyes de protección de datos o privacidad se basa en que

se traten datos personales. En algunas jurisdicciones, las leyes se aplican al tratamiento
de “información personal”. Si bien son dos conceptos similares, el dato personal es un
concepto muy amplio y, por ende, cualquier información relativa a una persona identificada
o identificable es o podría ser considerada como tal. 9

Determinar si una información es un dato personal o no, es el primer paso para establecer
hasta qué punto y en qué aspectos específicos aplican las leyes de protección de datos
personales. Es decir, si se tratan datos personales, será aplicable la ley u otra regulación
en materia de protección de datos personales. Si no hay datos personales (porque la
información no es dato personal, o porque el resultado de un tratamiento de anonimización
o disociación da lugar a que ya no haya datos personales), la ley sobre protección de datos
personales deja de ser aplicable.

Además, que la ley de protección de datos personales sea aplicable implica, con carácter
general, que el tratamiento de los datos tendrá que cumplir con los principios, bases o
fundamentos de legitimación del tratamiento, obligaciones aplicables al responsable y
encargado del tratamiento que trata los datos y los derechos de los interesados.

Es importante tener en cuenta que, incluso habiendo datos personales, las leyes sobre
protección de datos pueden incluir exclusiones a su aplicación. Por ejemplo, el tratamiento
de datos personales con fines personales o domésticos, es decir, sin fines comerciales
o lucrativos y para beneficio enteramente propio, no está sujeto a la normativa sobre
protección de datos personales. Esto ocurre con el fin de evitar una situación de aplicación
de la ley que resulte desproporcionada. Por ejemplo, obligar a todos los usuarios de
teléfono móvil o fijo a registrar sus agendas de datos de contacto personales ante la
autoridad de datos personales del país, como sí pasa en algunas jurisdicciones con las
bases de datos comerciales.

De igual manera, si una persona utiliza una red social con fines personales y allí tiene
numerosos nombres y datos de sus amigos y familiares, esa persona no tendrá que
cumplir con la ley sobre protección de datos pues se trata de su base de datos personal
o doméstica. No debe confundirse esta “agenda de contactos personal” con las bases de
datos de la red social que sí estarán sujetas a las leyes de protección de datos personales
porque proporcionan un servicio a terceros, con independencia de que lo haga a cambio
de un precio o no.

1.1.4. Datos no personales

Cuando la información:

1. No identifica o hace identificable a la persona física.

2. No se refiere a una persona física pero sí a una persona moral o jurídica, un
robot, etc.
3. Ha dejado de un dato personal porque ha sido disociada o anonimizada, de
manera irreversible sin esfuerzos desproporcionados.
4. No es un dato personal y, por tanto, no es aplicable la normativa sobre protección
de datos personales.

No obstante, esa información puede que sea protegida por otras normas según corresponda,
tales como la ley de propiedad intelectual o industrial, ley de secretos empresariales, etc.

5. También, no se consideran datos personales los relativos a personas fallecidas, 10

puesto que ya no hay personalidad en el sentido jurídico, sin perjuicio de que
los herederos de dicha persona puedan acceder a información sobre la persona
fallecida, solicitar que se rectifiquen datos inexactos o incompletos o comunicar
al responsable del tratamiento el fallecimiento de manera que este actualice la
información según corresponda.

Para recordar: el dato personal e información personal son conceptos similares. Por dato
personal se entiende cualquier o toda información relativa a una persona física identificada
o identificable.

1.2. ¿Qué es el tratamiento de los datos personales?

¡Inmersión!

Concepto: por tratamiento se entiende “cualquier operación o conjunto de operaciones

efectuadas mediante procedimientos físicos o automatizados realizadas sobre datos
personales, relacionadas, de manera enunciativa más no limitativa, con la obtención,
acceso, registro, organización, estructuración, adaptación, indexación, modificación,
 extracción, consulta, almacenamiento, conservación, elaboración, transferencia,
difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos
personales” (numeral 2.i de los Estándares de Protección de Datos para los Estados
Iberoamericanos, Red Iberoamericana de Protección de Datos, 20-6-2017).

Dependiendo de la forma en la que se lleve a cabo, el tratamiento de datos personales

puede ser: (1) automatizado, ya sea total o parcialmente, por ejemplo, cuando en este
último caso se utilizan formatos en papel para la recolección de datos y, posteriormente,
se digitalizan, o (2) no automatizado o en papel.

El concepto de tratamiento es, al igual que el de datos personales y por las mismas razones,
muy amplio. Hay que recordar que el legislador busca una aplicación muy extensa, pero
que no debe ser en ningún caso ilimitada o desproporcionada, al igual que el concepto de
datos personales.

¡Importante! El concepto de tratamiento es muy amplio. Esto debe tenerse en cuenta

al aplicar las leyes de protección de datos por las implicaciones que puede tener.

1.2.1. Disociación, anonimización y seudonimización

Como se ha visto, los datos personales pueden dejar de serlo cuando sean tratados de manera
que el resultado de este tratamiento no identifica o no permite identificar a la persona física. Al
respecto, tienen que distinguirse los siguientes conceptos:

11

Distinción entre comunicación o transferencia y remisión

Atendiendo a quienes intervienen o pueden intervenir en el tratamiento de los datos
personales, este puede ser de dos tipos: una comunicación o transferencia, o una remisión
o transmisión. En ambos casos puede ser tanto nacional como internacional.
En el caso de la comunicación o transferencia, un responsable comunica o transfiere los
datos personales a otro u otros responsables del tratamiento de manera que estos últimos
los tratarán para sus propias finalidades, tomando decisiones sobre dicho tratamiento
como ya hemos visto. En el caso de la remisión o transmisión, aunque materialmente hay
también una cesión o envío, no se considera una “transferencia” ya que lo que se produce
es el tratamiento de los datos personales por un encargado del tratamiento, con el objetivo
de que el encargado preste un servicio al responsable, que involucra el tratamiento de los
datos personales enviados, sin que el encargado tome ciertas decisiones fundamentales
sobre el tratamiento.

Como se verá a continuación, el encargado del tratamiento trata los datos personales en
nombre y por cuenta del responsable, es decir, siguiendo el encargo que este le ha hecho.
La remisión o transmisión puede ser también nacional o internacional, en este último caso
cuando el encargado del tratamiento se encuentra en un país distinto a aquél en el que se
encuentra el responsable.

1.3. Responsable, encargado del tratamiento y otras figuras

Temas para meditar…

¿Por qué es importante distinguir entre “responsable” y “encargado”?

¡Inmersión!

Como se ha mencionado, es importante distinguir entre las figuras de “responsable” y

“encargado” del tratamiento a fin de asignar responsabilidades, obligaciones y funciones
a quienes están realizando el tratamiento de los datos, no solo frente a los interesados, 12
sino también frente a todos los otros actores que están involucrados en el tratamiento de
esa información (empleados, proveedores, contratistas, cadenas de distribución, usuarios,
entre otros) y autoridades competentes en materia de protección de datos.

Las definiciones de “responsable” y “encargado” alrededor del mundo no siempre tienen

el mismo significado y alcance, pero tienen elementos en común.

El “responsable” generalmente se asocia con la persona o entidad que “determina”

(“decide sobre”).

1. Cuáles datos procesar.

2. Las “finalidades” para las cuales se tratan los datos.
3. Los “medios” mediante los cuales se da ese tratamiento.

Comúnmente el responsable del tratamiento es, por ejemplo, el cliente de un servicio de

procesamiento de datos provisto por un tercero.

El “encargado” generalmente se asocia con quien presta el servicio de procesamiento de los datos
que le envía o indica el primero, y en los modos y con las finalidades determinados por aquél.
 ¡Importante! El responsable del tratamiento es la persona, física o moral, o entidad que
toma decisiones sobre el tratamiento de los datos personales. En particular determina
o decide: (1) cuáles datos procesar, (2) las “finalidades” para las cuales se tratan los
datos, y (3) los “medios” mediante los cuales se da ese tratamiento. Por ejemplo, la
empresa cuando trata datos personales para enviar publicidad a sus clientes.

Estos dos conceptos son particularmente útiles a la hora de establecer las obligaciones
y responsabilidades que tienen responsable y encargado el uno con el otro, frente a los
titulares de los datos y frente a la ley.

Si bien ambos actores deben tener programas robustos que les permitan dar cumplimiento
a las normas de protección de datos personales o privacidad aplicables, entre ellos pueden
establecer con claridad quién, en ese proceso de tratamiento de datos personales específico,
debe encargarse de cada una de las etapas del proceso. En este sentido, la existencia del
encargado del tratamiento depende de una decisión del responsable del tratamiento ya que
será este último quien decida si trata los datos personales por sí mismo o si encomienda
a alguien ajeno a su organización, el encargado, dicho tratamiento.

¡Importante! El encargado del tratamiento es la persona física o moral o entidad que

presta un servicio al responsable para el cual se requiere realizar tratamiento de datos
personales o que consiste en tratar los datos personales. Por ejemplo, la empresa que
elabora las nóminas de los empleados de aquélla que le ha contratado a tal fin o la que
aloja las bases de datos de un sitio web de comercio electrónico.

Sin embargo, en el mundo online, no siempre es sencillo distinguir entre una y otra
figura pues hay temas que no están dentro del control absoluto del “responsable” y hay
decisiones que el “responsable” no puede tomar de manera independiente al servicio que
está usando. Cuando hay herramientas o tecnologías digitales involucradas, el “tratamiento
analítico de datos masivos puede hacer difícil distinguir entre responsables y encargados
13
del tratamiento”.1 En el mundo digital, el estatus de una organización o persona como
“encargado” es muchas veces puesto en cuestión.

En este aspecto, el Reglamento General de Protección de Datos (RGPD) Europa está

impulsando la figura de los “corresponsables”. La corresponsabilidad se refiere al
caso en el que varios responsables del tratamiento (los “corresponsables”) determinan
conjuntamente cuáles datos procesar, las finalidades y los medios del tratamiento, a través
de acuerdos por escrito que establecen las finalidades del tratamiento, cómo se tratarán
y cómo se cumplirán las responsabilidades por cada una. Es cuestionable la doctrina
sobre la “corresponsabilidad” en tanto que no siempre hay posibilidad de co-determinar, y
muchas veces el servicio prestado implica medios que solo el proveedor encargado puede
(e inclusive) debe entender, dada su complejidad tecnológica.

Otra posibilidad es la de las bases de datos en común o compartidas, en las que varios
responsables del tratamiento comparten los datos personales, pero en las que cada uno
deciden sobre el tratamiento de manera independiente con respecto a los otros.

1 Information Commissioner´s Office (2017), “Big data analytics can make it difficult to distinguish between data controllers
and data processors”. Consultado, en inglés, en https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-and-
data-protection.pdf
En la era digital existen y seguirán apareciendo servicios digitales que, como parte de su
funcionalidad, procesan para sus clientes datos personales y no personales con finalidades
propias del “encargado” y su tecnología, más allá de las finalidades determinadas por el
“responsable”. Estas finalidades propias son parte necesaria y esencial de la puesta en uso
de las tecnologías digitales aplicadas por el “encargado”, ya que de otra manera no será
posible el funcionamiento y operación del servicio. Es decir, se trata de finalidades propias
relativas a poder prestar el servicio que requiere el cliente.

El responsable que recibe un servicio digital de procesamiento avanzado de información

(como un proveedor de servicios de analítica de datos, o un desarrollador de Inteligencia
Artificial) ve cumplidas las finalidades para las cuales recolectó el dato en principio,
mientras que desde la perspectiva del “encargado” que provee el servicio, él es agnóstico
a las finalidades del responsable y, más bien, puede inclusive tener finalidades propias
independientes de los datos personales, relacionadas más bien con que los servicios sean
óptimos y cumplan los propósitos contratados.

Cualquiera que sea la posición del estudiante de este curso en el sistema digital (usuario,
consultor, desarrollador de tecnología, empresa usuaria de tecnología, empresa proveedora
de tecnología), es importante desarrollar una sensibilidad particular frente a la aplicación
de los principios del tratamiento de datos personales a situaciones particulares en el
mundo tecnológico, pues en la mayoría de los casos será necesario identificar primero
todos los actores y sus intereses, para poder aplicar los marcos jurídicos existentes.

Una buena práctica es ofrecer a los titulares de datos personales información transparente
y clara sobre el tratamiento de sus datos, y en todo caso tener un programa de protección
de datos personales robusto y sólido que permita evidenciar cómo se tomaron las decisiones
que se tomaron.

En el mundo digital hay preguntas difíciles, que no son tan fáciles de responder como lo 14
son en el mundo offline. Veamos, por ejemplo, el test que ICO propone para determinar
si un agente es responsable o encargado2. ICO propone unas preguntas sobre las que,
necesariamente, un responsable decidirá, como es el caso de la cuestión sobre si hay que
recolectar datos personales o no, cuál es la base legal para justificar esa recolección de
datos, qué tipos de datos le son relevantes para sus objetivos, los propósitos para los cuales
se va a recolectar la información, sobre quiénes se va a recolectar información, si se va a
revelar esa información a terceros y a quiénes, cómo responder a las solicitudes de ejercicios
de derechos elevadas por los interesados, y por cuánto tiempo retener la información.

Por otro lado, el test de ICO también contiene preguntas que, por contrato entre un
responsable y un encargado, le corresponde a éste responder como la cuestión sobre los
sistemas de tecnologías de la información usados para dar tratamiento a los datos, asuntos
sobre su almacenamiento, las medidas de seguridad usadas para proteger la información,
y algunos temas de retención de la información, por ejemplo.

Las organizaciones que ofrecen bienes o servicios al público cada vez más están usando
2 Information Commissioner´s Office, “How do you determine whether you are a controller or processor”.
Consultado, en inglés, en https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-
protection-regulation-gdpr/controllers-and-processors/how-do-you-determine-whether-you-are-a-controller-or-
processor/
 Ejemplo 2
Hay que revisar estos conceptos aplicándolos a un caso

soluciones de procesamiento de información basado en Inteligencia Artificial o Aprendizaje

Autónomo para resolver cuestiones en su línea de producción tradicional, o para ofrecer
nuevos bienes y servicios a sus usuarios y clientes. Ejemplos de ello son:

El fabricante de vehículos que decide producir una línea de vehículos autónomos.

El productor de refrigeradores que decide ofrecer electrodomésticos que reconocen

cuándo se está acabando un producto y lo compran autónomamente.

Un grupo de medioambientalistas y biólogos decide contratar a una empresa de

científicos de datos para que, usando su sistema avanzado de análisis continuo de
datos, los medioambientalistas puedan determinar cómo los cambios climáticos
afectan una comunidad de personas que vive en una selva apartada.

Escaneo de material audiovisual por parte de autoridades de policía o seguridad nacional.

Una ciudad decide contratar un proveedor que desarrolle e instale un sistema de

control automatizado de semáforos para convertirse en una ciudad inteligente.

Un banco contrata un proveedor para la identificación automática de transacciones

peligrosas o dudosas en sus sistemas.
15
Una cadena de tiendas de retail decide ofrecer servicios automatizados para el
pago de los productos (checkout o pago automatizado sin un cajero humano y sin
necesidad de acudir a la registradora; el comprador solo tiene que poner el producto
en el carrito de compras y salir de la tienda).

Una empresa decide producir en masa y para la venta al público, equipos de

diagnóstico médico para la identificación de enfermedades como el cáncer.

Un desarrollador decide crear un sistema que permite a sus clientes identificar los
gustos musicales y crear playlists.

En todos estos casos, habrá varios actores. Un “responsable” que tiene el interés de usar
tecnología para un objetivo propio de su negocio (y por ende se beneficia de la tecnología
de Inteligencia Artificial); un “encargado” que produce y/o aplica la tecnología, y un cliente
o usuario del producto final ofrecido por el “responsable”.

En el mundo digital, es importante distinguir entre las posiciones e intereses de todos los actores
involucrados en la cadena de producción de un bien o servicio. No siempre es tan fácil ni tan claro.
A continuación el ejemplo de los medioambientalistas y biólogos.

Un grupo de medioambientalistas y biólogos decide contratar a una empresa

de científicos de datos para que apliquen su tecnología de Inteligencia Artificial
(algoritmos y redes neurales que permiten hacer procesamiento avanzado de análisis
continuo de datos), con el fin de que los medioambientalistas y biólogos puedan
determinar cómo los cambios climáticos afectan una comunidad de personas que
vive en una selva apartada.

En este caso, son los medioambientalistas quienes deciden qué población humana analizar
y también deciden cuáles son los resultados del análisis. Sin embargo, a la hora de contar
con la empresa de científicos de datos, lo más probable es que los medioambientalistas no
tengan posibilidad de definir qué datos se recolectan pues son los dueños de la tecnología
quienes pueden llegar a saber qué datos procesa su algoritmo. Por ser una tecnología
de aprendizaje autónomo, es muy posible que el sistema operado y aplicado por los
científicos de datos tenga que recolectar muchos datos (personales o no) y por su misma
utilización determine cuáles son importantes y cuáles no para lograr el análisis contratado
inicialmente por los medioambientalistas.

En la aplicación de tecnologías de Inteligencia Artificial o Aprendizaje Autónomo, es posible

que la definición de las “finalidades” del tratamiento de los datos personales sean diferentes
para los medioambientalistas y para los científicos de datos. Estos últimos procesan
información con algoritmos y sistemas de redes neurales para que el algoritmo encuentre
las respuestas que su cliente (los medioambientalistas) están buscando, mientras que los
medioambientalistas tienen el propósito de identificar las variables o acciones que previenen
o controlan los efectos que tiene el cambio climático sobre un grupo humano determinado.

Como se ve en este ejemplo, en muchos casos los proveedores de tecnologías tratan datos
personales sin que ese tratamiento sea el fin en sí mismo para ellos, sino que lo hacen 16
como parte de un servicio amplio y complejo que el responsable decide contratar y usar
para lograr sus propias finalidades. No porque haya finalidades relacionadas pero diferentes
hace que ambos actores se conviertan en responsables. Es importante que la distinción
entre el responsable y el encargado esté clara para anticipar las soluciones y tener la mejor
prevención; es decir, que en estos casos es que los contratos o términos y condiciones
entre responsables y encargados son lo suficientemente completos para establecer roles y
obligaciones y determinar quiénes son los responsables últimos en cada caso.

En cuanto a la noción de “corresponsables” introducida por el derecho europeo, figura

que se ha venido desarrollando en el Tribunal de Justicia de la Unión Europea y que
posiblemente continuará su evolución en el Comité Europeo de Protección de Datos (CEPD),
es importante decir que debe evitarse la sobresimplificación de la gestión del encargado,
pues en la medida en que se le considere como un “corresponsable” podría generarse
un desincentivo a la innovación tecnológica y al ofrecimiento de servicios de tecnologías
emergentes.

Para recordar: identificar o determinar quién es responsable o encargado del tratamiento

es importante para asignar las obligaciones y responsabilidades que tienen el uno con el
otro, así como ante los interesados y las autoridades de protección de datos.
Bibliografía

1. Parlamento Europeo (2016), “Big data and data analytics, The potential for innovation
and growth”. Consultado, en inglés, en http://www.europarl.europa.eu/RegData/
etudes/BRIE/2016/589801/EPRS_BRI(2016)589801_EN.pdf
2. Fuente: https://www.statista.com/statistics/471264/iot-number-of-connected-
devices-worldwide/
3. Fuente: https://www.statista.com/statistics/273018/number-of-internet-users-
worldwide/
4. https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/
files/2014/wp216_es.pdf

17