(Segunda Época - Primer Semestre 2019 - Número 6€¦ · MÁSTER. YOSELIN VOS CASTRO . COMITÉ...

2Época

A

Revista Iberoamericana de Derecho Informático(Segunda Época - Primer Semestre 2019 - Número 6)

Revista Iberoamericana de Derecho Informático(Segunda Época - Primer Semestre 2019 - Número 6)

2Época

A

DIRECTOR ACADÉMICO

PROF. MG. BIBIANA BEATRIZ LUZ CLARA

EDITOR GENERAL

PROF. DR. JOSE HERIBERTO GARCIA PEÑA

CONSEJO ASESOR

PRESIDENTE DEL CONSEJO ASESOR

PROF. DR. FEDERICO BUENO DE MATA

PROF. MÁSTER. AUGUSTO HO SÁNCHEZ

PROF. HORACIO FERNÁNDEZ DELPECH

PROF. DRA. MARILIANA RICO CARRILLO

PROF. DRA. MYRNA ELIA GARCÍA BARRERA

PROF. DR. VALENTÍN CARRASCOSA LÓPEZ

REPRESENTANTE LEGAL

PROF. MARCELO BAUZA RELLY

Presidente de la Federación Iberoamericana de Asociaciones de Derecho e Informática

COORDINADORES

LIC. ERNESTO IBARRA SÁNCHEZ

LIC. HUMBERTO MARTÍN RUANI

PROF. DRA. JACQUELINE GUERRERO CARRERA

PROF. DRA. NAYIBE CHACÓN GÓMEZ

PROF. MÁSTER. YOSELIN VOS CASTRO

COMITÉ EDITORIAL

PROF. DR. FELIPE MIGUEL CARRASCO FERNÁNDEZ

Profesor de Derecho del Trabajo en la Universidad Popular Autónoma del Estado de Puebla. Doc-tor en Estudios Legales por la Atlantic International University. México.

PROF. DR. FERNANDO CARBAJO CASCÓN

Profesor de Derecho Mercantil de la Universidad de Salamanca. Doctor en Derecho por la Univer-sidad de Salamanca. España.

PROF. DR. HORACIO ROBERTO GRANERO

Profesor Titular de Derecho Procesal de la Pontificia Universidad Católica Argentina. Doctor enCiencias Jurídicas por la Pontificia Universidad Católica Argentina. Argentina.

PROF. DRA. LAURA NAHABETIÁN BRUNET

Profesora de Derecho Constitucional de la Universidad Católica del Uruguay. Doctora en Derecho y CienciasSociales por la Universidad de la República. Uruguay.

PROF. DR. LORENZO COTINO HUESO

Profesor Titular de Derecho Constitucional de la Universitat de València. Doctor en Derecho por laUniversitat de València. España.

PROF. DR. LORENZO MATEO BUJOSA VADELL

Catedrático de Derecho Procesal de la Universidad de Salamanca. Doctor en Derecho por la Uni-versidad d Salamanca. España.

PROF. DRA. MÓNICA LASTIRI SANTIAGO

Profesora de Derecho Mercantil de la Universidad Carlos III. Doctora en Derecho por la Universi-dad Carlos III. España.

PROF. DR. NELSON REMOLINA ANGARITA

Profesor de Derecho Comercial de la Universidad de los Andes. Doctor en Ciencias Jurídicas porla Pontificia Universidad Javeriana. Colombia.

PROF. DR. RUPERTO PINOCHET OLAVE

Profesor de Derecho Civil de la Universidad de Talca. Doctor en Derecho por la Universidad deBarcelona. Chile.

PROF. DRA. TERESA RODRÍGUEZ DE HERAS BALLEL

Profesora Titular de Derecho Mercantil de la Universidad Carlos III de Madrid. Doctora en Dere-cho por la Universidad Carlos III de Madrid. España.

DRA. VILMA SÁNCHEZ DEL CASTILLO

Letrada de la Corte Suprema de Justicia de Costa Rica. Doctora en Derecho por la UniversidadCarlos III de Madrid. Costa Rica.

INFORMÁTICA Y DERECHOREVISTA IBEROAMERICANA DE DERECHO INFORMÁTICO (SEGUNDA ÉPOCA)

PRIMER SEMESTRE 2019 - NÚMERO 6

PRESENTACIÓN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

PRÓLOGO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

YASNA VANESSA BASTIDAS CID

El cumplimiento de los principios del tratamiento de datos personales establecidos

en el reglamento general de protección de datos de la unión europea en proyectos

de Big Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

MARÍA ELENA LARO GONZÁLEZ

Nuevos horizontes para el derecho de protección de datos personales, al amparo del

nuevo reglamento general de protección de datos y de la directiva relativa al tratamiento

de datos personales en el ámbito penal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

LAURA NAHABETIÁN BRUNET

Datos y tecnologías GDPR: diferentes idiosincrasias, similares objetivos y valores . . . . . . . . . . 75

LORENA NARANJO GODOY

Innovación constitucional ecuatoriana frente al estándar europeo:

la reparación integral en la protección de datos personales y el habeas data restaurador. . . . . . . 99

MILAGROS KATHERINE OLIVOS CELIS

El nuevo reglamento de protección de datos personales para Europa:

reflexiones desde la experiencia latinoamericana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

FELIPE EDUARDO ROTONDO

El principio de responsabilidad y el reglamento europeo de protección de datos . . . . . . . . . . . . 135

PABLO SCHIAVI

Reputación on line ¿la identidad digital es tan importante como la real?. . . . . . . . . . . . . . . . . . . 153

RAÚL VASQUEZ RODRIGUEZ

Anatomía del Barreiro Montijo: disposiciones del reglamento general de protección

de datos a aplicar en el caso del centro hospitalar Barreiro Montijo . . . . . . . . . . . . . . . . . . . . . . 165

PRESENTACIÓN

Es un gran placer para mi presentar el 6to. número de la revista en su segunda época, como directo-ra de la misma.

En esta edición el tema es “La protección de datos personales a la luz del Reglamento UE.2016/679”, del 27 de abril de 2016 y que comenzó a regir el 25 de mayo de 2018.

Era menester, un avance más en el cuidado de nuestros datos personales, en principio en el entornoeuropeo, que sin duda se trasladará a otros países que siguen sus pasos en materia de protección y pri-vacidad, en el dictado y modificación de sus propias leyes.

La Directiva 46/95 debía ser ya revisada, para lograr la adecuación de los principios a las nuevasrealidades por efecto de la tecnología, que de modo disruptivo provoca alteraciones inesperadas, enla forma de obtener, presentar y hacer llegar al público, la información, la cual seguramente semultiplicará a partir de los dispositivos IoT, o Internet de las cosas, que a través de sus sensorespueden recabar y enviar permanentemente enormes cantidades de datos.

Los artículos del presente número, analizan los cambios que trae el nuevo reglamento y dan suparecer sobre el mismo.

Todo ha cambiado por las posibilidades tecnológicas actuales, para obtener grandes volúmenes de in-formación y con ella generar distintas acciones, sin que sus titulares muchas veces lo sepan.

A lo largo del día vamos dejando nuestros rastros imperceptiblemente a través de distintos mediostecnológicos, lo que luego permite confeccionar perfiles de usuarios y consumidores bastanteacertados. Es por ello que debemos asegurarnos que se cumplan efectivamente los principios deprotección en el tratamiento de los mismos.

El espacio de intimidad, es un derecho que el hombre necesita y debe resguardar, pues es el que lepermite en libertad, crear, delinear su vida y su obrar, sin ser observado, pues ese sólo hecho yaimplicaría un gran escollo y peor aún una gran pérdida su verdadera privacidad, este derecho a serdejados solos, como algunos lo han mencionado.

Quienes utilicen nuestros datos, con nuestro consentimiento, para alguna finalidad, deberán expresarla,brindando el cuidado y protección que los mismos merecen, permitiendo que siempre podamosejercer el debido control, garantizando que se aplicarán los principios fundamentales establecidos,que a su vez posibilitan el ejercicio de otros derechos, por medio de las herramientas que ofrece elRGPD.

Nos encontramos frente a nuevos desafíos, y los artículos aquí publicados analizan cada uno de elloscon la intención de concientizar en la importancia que los datos tienen para el individuo en particulary para la sociedad en su conjunto, ya que la transparencia en el tratamiento reportará un beneficiopara todos.

Aparecen nuevas figuras legales como la del delegado de protección de datos, un experto que seráquien ejercerá sus funciones de acuerdo al alcance, naturaleza, y fines del tratamiento, atendiendoque se cumplan las previsiones del Reglamento.

Los dejo entonces, para que puedan disfrutar de la lectura de estos artículos que estudian enprofundidad la problemática y sus posibilidades, y espero que sean de vuestro agrado.

Prof. Mg. Bibiana Beatriz Luz ClaraDirectora Revista FIADI

Informática y Derecho

Revista Iberoamericana de Derecho Informático

(segunda época)

Domicilio Electrónico en España

[email protected]

Domicilio Postal en Chile

Huérfanos 979, oficina 609 8320182 Santiago de Chile

Edita:

Ratio LegisPaseo de Francisco Tomás y Valiente, n.º 14, local 3

Tel.: (34) 923 227 03737007 Salamancawww.ratiolegis.net

ISSN:

2530-4496

Informática y Derecho, Revista Iberoamericana de Derecho Informático, es publicada en los meses de noviembre y mayode cada año en formatos electrónicos (pdf, epub y mobi) que están disponibles para descarga en la página web: http://www.informaticayderecho.org/

Una guía para la presentación de manuscritos está disponible en el enlace: http://www.informaticayderecho.org/manuscritos/

Algunos derechos reservados. Publicada bajo los términos de la licencia:Reconocimiento-No comercial-Sin obra derivada.

PRÓLOGO

REVISTA FIADI SEGUNDA ÉPOCA. Nº 6

EL REGLAMENTO (UE)2016/679 DE PROTECCIÓN DE DATOS PERSONALES

Un ejemplo de cátedra, de data no menor a treinta años atrás, me quedó grabado como sintomático ytrasladable a muchos terrenos.

Es el que pone por delante una de las particularidades de los contratos que todavía hoy día cabe de-nominar “informáticos”. Se ha dicho en tal sentido que para considerar un contrato acorde con estacalificación, hay que observar, entre otras características, los rasgos de su objeto. Cuando éste es re-dundante o recae en última y esencial instancia, en aquello intangible que es la “información” (desdeluego tratada de algún modo por un medio digital), estaremos ante un contrato informático. En casocontrario, no será así, puesto que al no estar presente o al menos cercano el elemento “información”,todo lo demás relativo a la informática es meramente episódico, lateral, sin consecuencias mayores.

El mismo ejemplo completa este razonamiento de principio, con elementos tomados de la realidad,que siempre ayudan a un mayor entendimiento de la regla. Es así que, abreviando, nunca sería uncontrato “informático”, la compra de papel para imprimir desde la computadora, ni tampoco la comprade una cinta de la impresora. Véase de paso cómo los fuertes cambios de la tecnología relativizan ojaquean la firmeza de algunos conceptos que pocos años atrás parecían apropiados, en tanto hoy podríallegar a desmentirse una afirmación tan rotunda trasladable a la otrora vulgar (¡y hoy extinta!) cintade impresora, a grupas de algún ejemplo de Impresión 3D.

El ejemplo citado sorprenderá en un Introito o Prólogo como el que se me ha encomendado, y que heaceptado honrado, siendo ésta mi primera aparición en la Segunda Época de la Revista, a la que mehonro también de haber contribuido en más de una oportunidad, en su Primera Época.

Sin embargo tiene un doble sentido: intentar ser fiel a los principios que guían a la Revista, porqueapunta directamente a la “interrelación entre el Derecho, las Tecnologías de la Información y las Co-municaciones Electrónicas, poniendo el acento en el carácter interdisciplinario y transversal que ne-cesariamente impone su estudio”1.

El ejemplo, además, es evocativo y estimulante, en tiempos de vorágine intelectual colectiva que de-vora conocimientos previos no tan antiguos cual agujeros negros, para detenerse siquiera un instantea pensar, y sobre todo a razonar, en términos de bivalencia comparativa. En este caso manteniéndonosdentro del espacio disciplinar conocido, no sin hesitaciones, como “Derecho Informático” (actualmenteimponiéndose a paso raudo su sustitución por “Derecho Digital”), pero con temas propios tanto delDerecho Privado (los contratos) como del Derecho Público (los DD.HH.), ambos que continúan siendocomo en el pasado, ejes centrales de la disciplina.

El ejercicio sería propicio para hacer aflorar mayores consecuencias que las que me permitiré traer aescena. No obstante no puedo dejar de señalar que el nuevo Reglamento Europeo de Protección deDatos Personales presenta similitudes de acercamiento a esta manera de visualizar los temas del De-recho Informático o Digital. Para comenzar porque no constituye la partida de nacimiento del derechohumano en juego, ni agota a éste.

Viene entonces a cuenta una de esas tantas evocaciones, a las que aludí antes. Es la siguiente. El ejem-

1 www.informaticayderecho.org/normas-editoriales

plo del papel/cinta de impresora funcionaría de maravillas para un tratamiento de datos personalesalejado de la revolución informática, si no fuera porque circunscritos a contratos “informáticos” aten-demos con prevalencia a significados meramente económicos y materiales, mientras que en sede deprotección de datos personales nos afincamos y detenemos, con porfía si se quiere, en algo muy dife-rente, de mucho mayor trascendencia sin desprecio de la que ostenta un contrato: la persona humana.Que por cierto no constituye una nota económica ni material.

O sea que esto último ya es de mayor cuidado para el intérprete, provocando que deba concluirse enun Si y un No, escondidos y matizados uno con otro si nos referimos a cuanto y porqué se debe im-bricar la protección jurídica de los datos personales, con las TIC, y por ende con el Derecho Informá-tico.

Para decirlo de modo claro sin ambigüedades, lo más probable es que a nadie se le habría ocurridogenerar leyes, tratados internacionales, doctrina y jurisprudencia, en un continuo e incesante devenircomo el que termina por dar forma al moderno Derecho de la Protección de Datos Personales, delcual el reciente Reglamento Europeo hace parte, si no fuera por este influjo prioritario, determinante,que provino del formidable empuje de las TIC en la sociedad, a escala planetaria, en los últimos de-cenios. Por ello es dable mantener sustento en lo que expresamos cierta vez, advirtiendo que: “…estapreocupación singular por el ´dato personal´ no existía antes de la década del setenta del siglo pa-sado. El asunto como tal es hijo dilecto, nace y se desarrolla en directa consecuencia y relación conel avance de las tecnologías info-comunicacionales aplicadas a la manipulación y control desbordadosde todo tipo de informaciones, entre ellas las nominativas, a través de los bancos de datos y otros re-servorios o acopios de gran volumen y versátiles posibilidades de explotación. Un hecho social no-vedoso, propio de la era tecnológica como se acaba de decir, que provocó la aparición de las primerasleyes de protección en la materia en países como Suecia y Alemania”.2

Una rápida evolución de 35 o 40 años al tiempo actual, no más, hizo que aquello que de todos modossiempre fue y será un DD.HH, pasara a convertirse en una disciplina jurídica con todas sus credencia-les. La construcción y complejidad del caso fueron de la mano con el avance portentoso, bajo constantevértigo y prolífica innovación, de las TIC. Ya no existe casi la cinta de impresora. Pero en cambio elDerecho debe seguir ocupándose, como siempre lo ha hecho, del ser humano y sus derechos. Un serhumano que vive y habita, queriéndolo o no, sabiéndolo o no, bajo fuerzas y fenómenos in crescendoderivados del mundo comunicacional digital, que abre sin pausa nuevos espacios de relacionamientointer social. Con aspectos y consecuencias que le favorecen en mucho a la especie humana, pero quetambién provocan riesgos y hasta perjuicios a la misma, en términos colectivos como individuales.En todo caso, un estadio de la Sociedad que necesita de contrapesos y articulaciones legales muy pre-cisas y armoniosas en materia de tratamientos y usos de los datos personales, a la luz del grado de de-sarrollo que han alcanzado las TIC con sus constantes y permanentemente renovadas perspectivas(hoy es la “analítica” habilitada por la “inteligencia artificial” quizás uno de sus máximos exponentes).Para evitar que el ser humano sucumba aplastado al paso de la tecnología, pero al mismo tiempoextraer de ésta todo lo necesario y benéfico que ofrece al desarrollo humano sustentable.

El Reglamento (UE)2016/679 del 27 de abril de 2016, que entró en fase de aplicación el 25 de mayode 2018, supone avanzar y adentrarnos en un cuarta etapa en la evolución político-jurídica del De-recho de la Protección de Datos, al menos en el concierto europeo. Si excluimos el “derecho deintimidad” y el “derecho a la privacidad”, que comienzan a tener enunciación en el derecho nor-teamericano de la segunda mitad del siglo 19, y que terminan encontrando asidero moderno en los

2 AA.VV., “Seguridad, privacidad, confidencialidad. El desafío de la protección de datos personales” Ed. Goethe-InstitutMontevideo, Ediciones Trilce, Mvd. 2004; la cita proviene de pp.14-15. Obra colectiva al cuidado del autor del presentePrólogo.

grandes textos de DD.HH. del siglo 20 (cito por todos a la Declaración Universal de DD.HH. de1948 de las Naciones Unidas), este nuevo derecho de la protección de datos personales, o derechode la autodeterminación informativa como también se lo ha llamado, atraviesa no menos de 3etapas anteriores, antes de llegar al nuevo Reglamento: 1970 en adelante con las primeras leyesen la materia; 1978 con la ley francesa que inspira el modélico primer tratado internacional cono-cido como Convenio No. 108 de Estrasburgo de 1981 (en fase de actualización hoy día con el lla-mado Convenio No. 108 “plus” abierto a la firma de los Estados desde el año pasado), y finalmente,la Directiva 95/46 de 24 de octubre de 1995 vigente hasta su derogación y sustitución por el NuevoReglamento.

Obviamente, durante todo este decurso, especialmente durante la segunda y tercera etapa, numerosospaíses de Europa como España, Italia y Portugal, dictaron sus propias leyes. También son de destaquelas entradas constitucionales puntuales al influjo de la irrupción del fenómeno informático en la so-ciedad, con consecuencias sobre los DD.HH que no pasaron inadvertidas en algunas Cartas Magna,como la de Portugal de 1976 (art. 35) y la de España de 1978 (arts. 18.4 y 105).

Ni que decir que este tipo de evoluciones fue diferente, pero asimismo conceptualmente convergente,del lado latinoamericano, donde antes que prendiera por irradiación el modelo europeo (desde el año2000 con la ley argentina se han ido sumando países bajo este modelo), ya existía una rica tradiciónde normativa y jurisprudencia de signo preferentemente constitucional, que hacía valer la protecciónde los datos personales y la acción de habeas data, como Derechos Humanos. Tradición que se refuerzay entronca sus sinergias, como se acaba de expresar, con la adopción en cascada del modelo europeo,y el más reciente intento de poner en servicio un régimen similar en América Latina, al producido enEuropa, mediante los llamados “Estándares Iberoamericanos”.3

El nuevo Reglamento contiene muchos conceptos y principios que ya estaban presentes en la Directiva95/46. Los reitera en muchos casos, los dota de mayor precisión y contundencia a varios de ellos quelucían débiles o confusos, y agrega otros. El cambio normativo no fue menor. En apretada, y segura-mente incompleta, síntesis de lo que aparece como nuevo en el Reglamento se aprecian: la responsa-bilidad proactiva con un gran multiplicidad de sesgos de gran porte (entre otros la evaluación deimpacto, y la lista de verificación), nuevos derechos como el de portabilidad y el de limitación de tra-tamiento, la figura del delegado de protección de datos, la privacidad desde el diseño y por defecto,el tratamiento de datos de menores.

El tiempo transcurrido desde su entrada en vigencia (poco menos de un año a la fecha de redaccióndel presente texto) es un tanto exiguo aún como para extraer conclusiones definitorias. Los estudioscontenidos en el presente número, todos ellos de la pluma de autores con gran conocimiento (y en nopocos casos una afiatada práctica profesional), en este campo, contribuirán a balizar un camino que,en términos de experiencia política y jurídica, recién comienza.

El número, variedad y calidad de enfoques que se ha logrado reunir para el presente Número 6 de laRevista de FIADI es altamente valioso, contribuyendo a desarrollar una doctrina por fuerza aún inci-piente como se ha enunciado, que está aún en sus inicios históricos, por lo que reflexiones analíticasy reflexivas, más que meramente informativas, son de recibo bajo aprecios mayores que cuando setrata de asuntos ya consolidados por el transcurso del tiempo.

Así se aprecian:

3 BAUZÁ REILLY, Marcelo. “Los estándares de protección de datos personales para los Estados Iberoamericanos”, enLa Justicia uruguaya, Revista Jurídica, tomo 156 julio-agosto 2018, págs.. 93-96. ISSN 0797-2695 Ed. Thomson ReutersUruguay. Del mismo autor, “La Ley 18.331 y el Reglamento (UE 2016/779. Apuntes para un nuevo alineamiento”, enRevista Uruguaya de Protección de Datos Personales No. 2, agosto 2017, pp. 9-23, URCDP, Uruguay, asimismo enlínea en el sitio de la URCDP www.datospersonales,gub.uy

El enjundioso trabajo de YasnaVanessa Bastidas Cid, que pone de manifiesto las relaciones existentesen el RGPD entre Big Data y cada uno de los principios especiales que presiden la protección de datospersonales.

La infrecuente focalización hacia el tratamiento debido por parte de autoridades competentes en pre-vención, investigación, detección o enjuiciamiento de infracciones penales, tema de análisis abordadopor María Elena Laro González.

Un valioso ejemplo del ámbito jurídico latinoamericano proveniente de la Constitución Ecuatoriana,que busca conjugar o superar los habituales alcances del habeas data para propender a la reparaciónintegral como derecho humano, artículo presentado por Lorena Naranjo Godoy.

Los muy logrados trabajos de Milagros Katherine Olivos Celis y Laura Nahabetian Brunet, cada unacon estilos y desarrollos propios, pero ambas poniendo el acento en algo tan valórico como son lasmaneras de receptar y avanzar en Latinoamérica por los senderos de una institucionalidad jurídica defuste nacida en otra región, como es ésta que deriva del RGPD y sus antecedentes históricos.

Un examen específico del “principio de responsabilidad” como principio básico del estado democráticode Derecho, a cargo de Felipe Eduardo Rotondo, desarrollándolo tanto en su aspecto general, comoen sus características y aplicaciones referidas al derecho de la protección de datos personales, su con-figuración en el RGPD, y finalmente la incidencia de éste último en el ámbito iberoamericano.

La instalada “reputación en línea” a partir de la viralización masiva de información, y potenciaciónde contenidos nutridos por los buscadores de Internet, artículo de Pablo Schiavi que desarrolla el temacon alcances y relaciones múltiples, entre otros lo relativo al ejercicio de la libertad de expresión.

Y finalmente el trabajo de Raúl Vásquez Rodríguez, brindando el examen específico de un caso real,ocurrido en el Centro Hospitalario Barreiro Montijo, donde hubo actuación e incumplimiento consta-tados de parte de la Autoridad Regulatoria portuguesa en cuanto a la adopción medidas de seguridadinformática de los sistemas de tratamiento automatizado de datos, extendiéndose el autor en torno alos vínculos de este asunto con enfoques de privacidad desde el diseño y por defecto, así como res-ponsabilidad proactiva.

Concluyendo puede afirmarse que el nuevo Reglamento nació bajo la esperanza de alumbrar nuevos(y algunos no tanto) derroteros, que en todo caso permitan continuar desarrollando y afianzando elmoderno Derecho de la Protección de Datos Personales, sustituyendo a la Directiva 95/46 cuyo formatoy alcances se consideraron agotados. Es sabido que un Reglamento tiene mayor fuerza que una Di-rectiva, en tanto es ley uniforme con vigencia al unísono en todos los países de la Unión Europea,condición que no posee una Directiva, la que demanda su internalización en los derechos internos decada país antes de ser realmente operativa, y con los matices de cada legislación, que terminó en elcaso de la Directiva 95/46 por producir concreciones desajustadas, con diferente ritmo e intensidaden los distintos países.

Pero lo que importa más son las novedades sustantivas del RGPD, algunas de las cuales son abordadaspor los autores del presente número, sin descuidar por ello la influencia e internalización del sustratode sus previsiones, en el ancho espacio latinoamericano.

Dr. Marcelo Bauzá ReillyPresidente de FIADI ejercicio 2018-2021

INTELIGENCIA ARTIFICIAL Y DERECHO: PRINCIPIOS Y PROPUESTAS PARA UNA GOBERNANZA EFICAZ

EL CUMPLIMIENTO DE LOS PRINCIPIOS DEL TRATAMIENTO DE DATOS PERSO-NALES ESTABLECIDOS EN EL REGLAMENTO GENERAL DE PROTECCIÓN DE

DATOS DE LA UNIÓN EUROPEA EN PROYECTOS DE BIG DATA

COMPLIANCE WITH THE PRINCIPLES OF THE PROCESSING OF PERSONAL DATAESTABLISHED IN THE GENERAL REGULATIONS FOR DATA PROTECTION OF THE

EUROPEAN UNION IN BIG DATA PROJECTS

Yasna Vanessa Bastidas Cid1

1 Máster universitario en protección de datos. Universidad Internacional de la Rioja, España. Máster en propiedad in-telectual y derecho de las nuevas tecnologías. Universidad Internacional de la Rioja, España. Doctoranda en Derecho,Universidad Carlos III de Madrid, España.

INFORMÁTICA y DERECHO

REVISTA IBEROAMERICANA DE DERECHO INFORMÁTICO (SEGUNDA ÉPOCA).

FEDERACIÓN IBEROAMERICANA DE ASOCIACIONES DE DERECHO E INFORMÁTICA.

ISSN 2530-4496 – AÑO 1, N° 6, 2019, PÁGS. 15-48

RESUMEN:

El presente trabajo realiza un estudio de los principios relativos al tratamiento de datos personales ala luz del Reglamento General de Protección de Datos de la Unión Europea. Dedica un análisis sobrelos desafíos que presentan en entornos de Big Data y las soluciones que ofrece el legislador europeoa partir del RGPD, con especial atención a la nueva Ley Orgánica 3/2018, de 5 de diciembre de pro-tección de datos personales y garantía de los derechos digitales de España, a los criterios establecidospor la Agencia Española de Protección de datos y las recomendaciones del Grupo del Artículo 29, hoyactual Comité de protección de datos. Finalmente, definiremos un protocolo de actuación corporativafrente a proyectos de Big Data.

PALABRAS CLAVE:

Protección de datos, Big Data, Tecnologías emergentes, Reglamento General de Protección de datos,Principios del tratamiento de datos.

ABSTRACT:

The present work carries out a study of the principles related to the processing of personal data inlight of the General Regulation of Data Protection of the European Union. Dedicates an analysis onthe challenges that present in Big Data environments and the solutions offered by the Europeanlegislator from the RGPD, with special attention to the new Organic Law 3/2018, of December 5, ofpersonal data protection and guarantee of the digital rights of Spain, the criteria established by theSpanish Agency for Data Protection and the recommendations of the Article 29 Group, now theCommittee for data protection. Finally, we will define a protocol for corporate action against Big Dataprojects.

KEYWORDS:

Data protection, Big Data, Emerging technologies, General Data Protection Regulation, Principles ofdata processing.

INTRODUCCIÓN:

El reconocimiento de la protección de datos como un nuevo derecho fundamental ha provocado cam-bios en la interpretación de los distintos documentos normativos que forman parte de nuestro ordena-miento jurídico. En virtud del desarrollo tecnológico, el derecho a la intimidad ha tenido quedesmembrarse con el objetivo de cubrir un ámbito de protección antes inexplorado. La doctrina y lajurisprudencia, en su labor interpretativa han logrado posicionar en la sociedad del siglo XXI un de-recho que viene a equilibrar la irrupción de las tecnologías emergentes con la facultad de control yacceso a la información personal, propia de ser cautelada bajo el principio de la dignidad humana.

El artículo 1 de la Carta de los Derechos fundamentales de la Unión Europea, establece “la DignidadHumana es inviolable. Será respetada y protegida”2, y es así como el legislador europeo en su tareareguladora bajo el afán de este principio fundamental propio de la esencia humana hace pivotar todasaquellas materias sobre las que existe una necesidad imperiosa de legislar.

En el contexto actual, el avance de las tecnologías, las oportunidades que nos ofrecen y las conse-cuencias que se presentan de su utilización, obligan a los Estados a ponerse al día con una serie de de-rechos y garantías cada vez más íntimas y propias de las personas físicas, para así permitirles su plenodesarrollo social, económico, cultural y espiritual posibles.

De esta manera, nace en la conciencia legislativa un nuevo derecho, cuyo significado, para un ciuda-dano normal aún parece un poco confuso, e incluso desconocido: “el derecho fundamental a la pro-tección de datos personales”.

2 Artículo 1, de la Carta de Derechos Fundamentales de la Unión Europea de 01 de diciembre de 2009 (BOE núm. 184,31.07.2008)

EL CUMPLIMIENTO DE LOS PRINCIPIOS DEL TRATAMIENTO DE DATOS PERSONALES ESTABLECIDOS EN EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UNIÓN EUROPEA EN PROYECTOS DE BIG DATA

Debido a la aparición de las tecnologías disruptivas, el marco regulatorio europeo ha debido ser revi-sado y reformado, el legislador europeo se ha enfrentado a la ardua tarea de equilibrar los intereses deuna sociedad “tecnodirigida”, con el fin de preservar la dignidad y libertad individual, aquellos prin-cipios fundamentales en los que se asienta un Estado democrático de derecho.

El nuevo marco legal que define el Reglamento General de Protección de Datos de la Unión Europea,establece una serie de garantías a las personas físicas, en tanto, protección de la privacidad y seguridadde la información, y plasma para el cumplimiento de estas garantías una serie de principios y derechosque deben ser respetados y aplicados minuciosamente cada vez que estemos frente a un tratamientode datos personales.

Pero, ¿será posible llevar a cabo esta tarea de cuidado extremo a que nos obliga el legislador?, ¿quéocurre con los principios y derechos del interesado cuando el tratamiento de datos gracias al internetde las cosas, a la computación en la nube y en especial al Big data es llevado a un nivel de macrodatos?,¿podremos cumplir con las disposiciones del Reglamento General de Protección de datos de la UniónEuropea?

El presente trabajo analiza el problema jurídico del cumplimiento de los principios del tratamiento,que establece el Reglamento general de protección de datos personales, frente a los proyectos de BigData.

El estudio, lo dividiremos en dos etapas: una primera etapa, más bien técnica, donde haremos unabreve referencia al Big data y su aplicación, con el objetivo de contextualizarnos y entender su con-cepto, origen, usos e implicancias. Una segunda etapa, quizás la más importante, la etapa jurídica, de-dicada al estudio del concepto y origen del derecho fundamental a la protección de datos personales;el análisis de las fuentes normativas referentes a la protección de datos, tanto a nivel europeo comonacional; y finalmente, a definir los principios del tratamiento de datos, los problemas jurídicos quepresenta su cumplimiento en proyectos de Big Data y las herramientas que el Reglamento General deProtección de Datos Personales nos proporciona para hacer frente a estos problemas jurídicos. Con-cluiremos este estudio, con algunas recomendaciones o protocolo de actuación, para la protección dedatos de cara al Big data.

1. ¿QUÉ ENTENDEMOS POR BIG DATA?

1.1 Origen y concepto

El concepto de Big Data, no es un término nuevo, hace ya 70 años nos encontramos con los primerosintentos de cuantificar la tasa de crecimiento en el volumen de datos o lo que popularmente se conocecomo “la explosión de la información”3.

Hace unos 30 años, a finales de los años 90, el gran posicionamiento de las empresas tecnológicas enel mundo digital, gracias al impulso de la Word Wide Web nos sigue deleitando con el concepto literalde los “grandes datos”. El primer ejemplo de esta nueva realidad lo constituye Google y su modeloMapReduce bajo el sistema de ficheros distribuido de funcionamiento convirtiéndose en el hito ins-pirador para el desarrollo de otros proyectos similares4. En la misma época, Michael Cox y DavidEllsworth ambos investigadores de la NASA, afirmaban en un artículo que las tecnologías aplicadasal mundo analógico ya no eran capaces de procesar la magnitud de datos que se venían produciendo.Necesitábamos nuevos sistemas informáticos con una capacidad de procesamiento más potente. Con-virtiéndose el concepto de Big Data en la nueva moda5.

Pensemos cuántas veces hemos escuchado “Data is the new oil”, frase acuñada por Clive Humby en

3 DRUCKER, P. (1992), “La Sociedad Postcapitalista”. Publicación de Butterworth Heinneman LTDA.Oxford.

4 DEAN, J. - GHEMAWAT, S. (2004). “MarpReduce: Simplified Data Processing on Large Clusters. Google Inc., págs.3-11

5 COX, M. - ELLSWORTH, D. (1997), “Application-Controlled Demand Paging for Out-Of-Core Visualization”. Re-port NAS-97-010, págs. 6-9

Yasna Vanessa Bastidas Cid

20066. El toque mágico del Big Data, por el cual se han encandilado muchas organizaciones, vienedado por lo prometedora que resulta dicha frase.

Por aquello de las traducciones literales y del uso de términos anglosajones se tiende a asociar BigData con “grandes datos”. Pero no solamente son grandes datos, no solo son petabytes o exabytes,para que algo sea considerado Big Data tiene que cumplir con la regla de las 3V, es decir, Big Data esel conjunto de nuevas tecnologías y arquitecturas diseñadas para la obtención de valor de grandes vo-lúmenes y variedad de datos de una forma rápida, facilitando su captura, procesamiento y análisis. Deesta forma se caracterizan dichos datos por su volumen, variedad y velocidad de generación7.

Cuando hablamos de “volumen”, nos estamos refiriendo a un gran tamaño de datos, grandes cantida-des. Debido a que se trata de grandes cantidades de datos, es lógico que también se tratará de datosmuy “variados”, estructurados, no estructurado o semiestructurados, cuyo origen viene de muchasfuentes, como social media, dispositivos, compras en línea y otras actividades de internet, y que seprocesan a gran “velocidad”, una característica que proporciona un valor añadido a las tecnologías deBig Data sin las cuales no se podría lograr8.

Sin embargo, debido a la gran cantidad de fuentes donde se originan estos datos, es muy probable quemuchos de ellos sean falsos o según la técnica de análisis terminen descontextualizados y produzcandistorsión en la información que aportan y es aquí donde cobra relevancia la “veracidad”, la cuarta Vincorporada por IBM en 2012. Si los datos carecen de veracidad pueden producir más desventajasque ventajas, pues llegaremos a conclusiones erróneas, por eso es imprescindible comprobar la validezde los datos, limpiarlos de cualquier inexactitud propendiendo a su integridad y confiabilidad9.

A estas 4V podemos añadir tres más, viabilidad, visualización y valor. Hablamos de “viabilidad”cuando las organizaciones tienen la capacidad de utilizar eficientemente el gran volumen de datos quemanejan. Nos referimos a la “visualización”, para representar la forma como los datos son presentados.Existen varias herramientas de visualización que permiten una accesibilidad a los datos de manera le-gible y contextual. Por último, encontramos el “valor”, que es aquel proporcionado por la informaciónque logramos desprender del dato. Una información posee valor cuando con ella se puede tomar de-cisiones o llevar a cabo acciones importantes para el desarrollo empresarial10.

Existen diferentes tipos de software para el procesamiento de grandes conjuntos de datos (Hadoop,Mongo DB, Elasticsearch, Python, Lenguaje R, etc.) la clave está en encontrar un software que seajuste bien a las tecnologías y necesidades de las empresas para sacar el mejor provecho a los datos yla información que producen11.

6 GERHARDT, D. - GRIFFIN, K. - KLEMANN, R. (2012), “Descubrir el valor en el fragmentado mundo del análisisdel los Big Data. Cómo los infomediarios de la información crearán un nuevo ecosistema de datos”. Grupo De Solu-ciones Empresariales para Internet (IBSG) de Cisco, pág. 2 (Disponible enhttps://www.cisco.com/c/dam/global/es_es/assets/executives/pdf/Unlocking_Value_in_Big_Data_Analy-tics.pdf; fecha de última consulta: 10.02.2019).

7 OLOFSON, C. - VESSET, D. (2012, WHITE PAPER. “Big Data; Trends, Strategies, and SAP Technology”. IDC.,pág.4 (Disponible en https://www.itweekly.nl/iec/sap/BigDataTrendsStrategiesandSAPTechnology.pdf, fechaúltima consulta: 15.02.2019)

8 Ibídem, págs.4-6.

9 JEWELL, D.-BARROS, R.- DIEDERICHS, S.- DUIJVESTIJN, L.- HAMMERSLEY, M. -HAZRA, A. - HOLBAN,C. - LI, Y. - OSAIGBOVO, O. - PLACH, A. PORTILLA, I. -SAPTARSHI, M. -SEERA, H. - STAHL, E. - ZOLOTOW,C. (2014), “Performance and Capacity Implications for Big Data”. IBM Redpaper Publication 50-70, pág.20. (Dis-ponible en http://www.redbooks.ibm.com/redpapers/pdfs/redp5070.pdf, fecha última consulta: 15.02.2019)

10 REVUELTA BAYOD, MªJ. (2018), “Big Data: Crisis y nuevos planteamientos en los flujos de comunicación de lacuarta revolución industrial”, Revista de Comunicación Audiovisual y Publicitaria, ISSN 1578-8393, Ediciones Com-plutense, págs. 312-313 (Disponible en file:///C:/Users/Alumno/Downloads/59521-4564456552269-2-PB.pdf,fecha última consulta: 16.02.2019)

11 INSTITUTO DE INGENIERÍA DEL CONOCIMIENTO, (2016), “7 Herramientas Big Data para tu empresa”. (Dis-ponible en http://www.iic.uam.es/innovacion/herramientas-big-data-para-empresa/, fecha última consulta:


1.2 Aplicaciones del Big DataActualmente, numerosas empresas y organizaciones de todo el mundo necesitan almacenar y gestionarcorrectamente los datos e información que generan diariamente.

Las tecnologías Big Data facilitan el procesamiento de la información en los distintos campos de lasorganizaciones. Las instituciones públicas y privadas, los centros de investigación científica e inclusolos gobiernos han encontrado en el Big Data la solución que les permite optimizar sus decisiones yrecursos mejorando las prestaciones que ofrecen a los usuarios.

En el ámbito científico, el Big Data se utiliza en numerosas aplicaciones, por ejemplo, la predicciónmeteorológica, el estudio del genoma humano o el análisis de composición de la materia12.

Los centros educativos, utilizan Big Data para mejorar los procesos de aprendizaje y lograr una edu-cación personalizada13.

Las tecnologías Big Data han abierto un mundo de interoperabilidad en el sector sanitario, permitiendola eficiencia del seguimiento de tratamiento, prescripciones médicas y la optimización de los recursoseconómico y humanos14.

Los gobiernos utilizan estas tecnologías para mejorar los servicios públicos. Incluso se ha extendidosu utilización a los partidos políticos, que mediante el análisis predictivo logran centrar las campañaspolíticas en las necesidades de los ciudadanos. A modo de ejemplo, Barak Obama utilizó en su cam-paña electoral en 2012 Big Data para conocer los gustos y preferencias de los ciudadanos, lo que lepermitió la realización de discursos y programas adaptados a los resultados del análisis predictivo15.

Sin embargo, no todo son buenas noticias. El Big Data lleva implícito los riesgos asociados a sus pro-pias características. En el apartado anterior decíamos que Big Data permite tratar grandes cantidadesde datos de diversas fuentes. Estos datos, generalmente, han sido obtenidos para finalidades específi-cas, sin embargo, en no pocas ocasiones, se utilizan para finalidades posteriores que el responsabledel tratamiento poco puede prever, por ejemplo, el cruce masivo de datos o inferencias de los hábitosde las personas. De lo anterior, podemos extraer una primer cuestión ¿en qué medida se respeta elconsentimiento que se prestó inicialmente para el tratamiento?. Debemos recordar que el consenti-miento es el requisito fundamental que promueve la transparencia, pues los ciudadanos deben saberexactamente, qué datos suyos se manejan, quién los maneja, para qué y si existen finalidades ulterio-res16.

En segundo lugar ¿Qué ocurre con los patrones y la elaboración de perfiles?, porque a través de BigData se obtienen patrones de información que, en ocasiones, repercuten directamente en una personaindividualmente considerada17.

Y por último, ¿cómo enfrentará este fenómeno el regulador?, ya que al día de hoy hemos tenido unlegislador impositivo de sanciones realmente robustas, que por cierto, el Reglamento viene a incre-mentar. ¿Deberá el legislador acompañarnos, más que sancionarnos en este proceso de transforma-ción?

16.02.2019)

12 MALVICINO, F.- YOGUEL, G. (2015), “Big Data: Avances recientes a nivel internacional y perspectivas para el de-sarrollo local”, Centro Interdisciplinario de Estudios en Ciencia, Tecnología e Innovación (CIECTI), Ciudad Autónomade Buenos Aires, págs. 17-21 (Disponible en http://www.mincyt.gob.ar/_post/descargar.php?idAdjuntoAr-chivo=41331, fecha última consulta 16.02.2019)

13 Ídem.14 Ídem.15 Ídem.

16 GIL GONZÁLEZ, E. (2016). Big Data, Privacidad y Protección de Datos. Agencia Española de Protección de Datos,Imprenta Nacional de la Agencia Estatal, Madrid, ISBN 978-84-340-2309-3, pág.67 (Disponible enhttps://www.aepd.es/media/premios/big-data.pdf, fecha última consulta: 04.01.2019)



Para lograr una efectiva garantía del derecho a la protección de datos personales la concientización esfundamental y debe articularse en tres entornos, la educación de los ciudadanos, el apoyo a las em-presas y la actuación del gobierno. Es imprescindible que estas tres instituciones posean un conceptounificado y claro de este nuevo derecho, de los deberes y de las obligaciones que el mismo implica yde cómo cumplirlas.

1.3 Impacto del Big Data en la protección de datos personales

El discurso sobre Big Data no solo es técnico. El mayor valor del Big Data es mejorar la calidad vidade las personas en cualquier entorno. Cuando hablamos de mejorar la calidad de vida de las personasmediante la utilización de las nuevas tecnologías se hace imprescindible entrar en el debate públicode la privacidad de la información y la protección de datos personales.

El Big Data utiliza tecnologías que promueven una supervigilancia masiva de nuestros datos, cuyosresultados permiten a las organizaciones tomar decisiones personalizadas y contextualizadas respectode las necesidades de los individuos lo que permite a los proveedores hacer converger de forma certeray oportuna los servicios que pueden ser ofertados para esas necesidades. Ambas partes pueden versebeneficiadas, por un lado, facilita a los individuos el acceso a la información y solución casi inmediatade los problemas, mientras a las empresas, permite afinar la inversión a contextos específicos, ocu-pando de manera eficiente sus recursos sin pérdidas fácticas y económicas en la mayoría de los casos.

Así las cosas, las expectativas de mantener el control de nuestra información es muy reducida, casino nos damos cuenta del valor que adquieren nuestros datos para terceros, y la cantidad de datos quesobre nosotros manejan, tanto así, que al día de hoy, nuestros datos operan como moneda de cambio,aunque muchos individuos no lo sepan.

Recordemos el caso Malte Spitz. Un político y periodista alemán, que por azar de la vida solicitó aDeutsche Telekom, la compañía telefónica con la cual mantenía un contrato de servicios, que pusierana su disposición la información que habían recabado sobre él en un período de tiempo determinado.La compañía telefónica se opuso y solo accedió a entregar un extracto informativo de cuántos minutosconsumía y a quién llamaba. El Sr. Malte no conforme con dicha información inició una batalla legalhasta que logró llegar a un acuerdo con telefónica. Así esta última, debía entregar la información sobreMalte que constaba en sus bases de datos, de un período de seis meses anteriores a la solicitud18.

Al analizar la información, el Sr. Malte se dio cuenta que Telefónica tenía registros de todos sus mo-vimientos, a quién llamaba, quién le llamaba, de donde hasta donde viajaba, a qué hora salía de sucasa, cuánto demoraba en llegar a su destino, cuántos datos consumía en internet, etc. Era su vidaplasmada en un papel.

A partir de esto el Sr. Malte hace una reflexión muy interesante “vistos de forma individual, los datosson en su mayoría inofensivos. Pero en conjunto proporcionan un perfil, hábitos de una persona y dehecho, de su vida”19.

De igual forma, podemos recordar el impacto que produjo el caso de Cambridge Analytica, relativo ala venta de información personal de redes sociales para fines políticos y el bullado caso de EduardSnowden, con relación a la información personal que obtenía la Agencia Nacional de Seguridad delos Estados Unidos con la colaboración de compañías propietarias de redes sociales y motores de bús-queda20. En definitiva, un análisis masivo de datos puede transformarnos en unos títeres de la tecno-logía movidos en favor de terceros.

18 SOTO GALINDO, J. (2016). “Malte Spitz: tenemos derecho a decidir sobre nuestra privacidad”. (Disponible enhttps://www.eleconomista.com.mx/opinion/Malte-Spitz-tenemos-derecho-a-decidir-sobre-nuestra-privaci-dad-20160703-0002.html, fecha última consulta: 03.12.2018)

19 TED, (2012, julio 24). Malte Spitz: tu compañía telefónica está mirando. (Recuperado dehttps://www.youtube.com/watch?v=Gv7Y0W0xmYQ, fecha última consulta 29.12.2018)

20 BERNAL JIMENEZ, J. - VALENCIA SERRANO, F. (2018). Big Data: La puesta en crisis de la protección de datospersonales (Tesis de Grado). Pontificia Universidad Javeriana de Cali, Colombia, pág.63 (Disponible enhttp://vitela.javerianacali.edu.co/bitstream/handle/11522/11027/Big_data.pdf?sequence=1&isAllowed=y,fecha última consulta: 04.01.2019)


Por las situaciones anteriormente expuestas, entre otras razones, el legislador europeo, decidió adecuarel cuerpo normativo existente hasta 2016, con un Reglamento General de Protección de datos, másequilibrado, vanguardista con la realidad tecnológica, y de aplicación directa por todos los Estadosmiembros, cuestión de gran relevancia jurídica, porque hemos de recordar que la derogada Directiva45/1996 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos per-sonales y a la libre circulación de estos datos, requería ser traspuesta a la normativa nacional, de formatal, que hasta que la norma nacional no se promulgue, los preceptos de la Directiva no son aplica-bles21.

Los artículos 6 y 7 del RGPD reconocen los avances tecnológicos como un desafío para la protecciónde datos, requiriendo de un marco normativo más sólido y coherente, que permita generar seguridady confianza, principios indispensables para el desarrollo de la economía digital en todo el mercadointerior22.

2. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS PERSONALES.

2.1 Origen: Derecho a la intimidad y derecho fundamental a la protección de datos personales.

Aunque en el plano internacional, con anterioridad ya han hablado de la protección de datos personales,lo cierto, es que en el ordenamiento jurídico español es ineludible la referencia a la sentencia del Tri-bunal Constitucional (en adelante STC) 254 de 20 de julio de 1993. En esta sentencia se reconocepor primera vez, y se otorga rango de derecho fundamental a la protección de datos personales, y estoes algo realmente sobresaliente si tenemos en cuenta que la protección de datos personales como talno aparece reconocida en nuestra Constitución. La protección de datos personales es un derecho dedecantación jurisprudencial que toma en cuenta, sobre todo, el apartado N°4 del artículo 18 de laConstitución Española23 (en adelante CE) de esa genérica referencia que se hace al legislador paraque tenga cuidado a la hora de regular el uso de la informática y evitar con ello las intromisiones enla intimidad, el honor y otros derechos fundamentales24.

Mediante la STC 254 de 20 de julio de 1993, dicho órgano consideró que el artículo 18 en su numeral4 no era meramente un instituto de garantía, sino que también, en ese artículo se contenía un derechofundamental propio y específico con carta de naturaleza: “el derecho fundamental a la protección dedatos personales”. Esto supone un avance doctrinal importante, ya que establece los límites entre elderecho a la intimidad y la protección de datos y porque una vez decantado un derecho jurispruden-cialmente nada impide que en el futuro otros derechos fundamentales sean definidos de esta forma25.Al no contar la CE con cláusulas equivalentes al artículo 17 de la Constitución Portuguesa26 o a la IXenmienda de la Constitución Americana27, esta STC sienta unas bases formidables para el desarrollodel catálogo de derechos fundamentales.

La evolución jurisprudencial de este nuevo derecho tuvo un desarrollo paulatino, una vez sentada la

21 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protecciónde las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos ypor el que se deroga la Directiva 95/46/CE. (DUOE 4.5.2016)

22 Ídem.23 Artículo 18 n°4, Constitución Española, de 6 de diciembre de 1978 (BOE núm.311 de 29 de diciembre de 1978)

24 GARRIGA DOMINGUEZ, A. (2016). Nuevos retos para la protección de datos personales: en la era del Big Datay de la computación ubicua, Madrid, Dykinson, págs.94-101.

25 STC 254/1993, de 20 de julio, fundamento jurídico 6°, (BOE núm.197, de 18 de agosto de 1993).

26 Artículo 17, Constitución de la República Portuguesa, de 2 de abril de 1976: “Sera aplicable el régimen de los dere-chos, libertades y garantías a los derechos que se enuncian en el titulo II, a los derechos fundamentales de los tra-bajadores y a las demás libertades, incluso a derechos de naturaleza análoga previstos en la Constitución y en laley”

27 IX Enmienda, Constitución de los Estados Unidos, de 17 de septiembre de 1787: “No por el hecho de que la Cons-titución enumera ciertos derechos ha de entenderse que niega o menosprecia otros que retiene el pueblo”.


referencia a la consagración del derecho a la protección de datos como derecho fundamental, el análisisde la jurisprudencia constitucional ha presentado tres fases de desarrollo: en un primer momento, ladecantación y carta de naturaleza del derecho y el delineado de su contenido esencial por parte de TC.Una vez superada esta fase, se inicia una segunda fase con las SSTC. 290 y 292, dictadas en el año200028, donde la preocupación es enjuiciar a la luz de la Constitución la normativa de desarrollo ytrasposición de la Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de estos datos, reclamando la inconstitucionalidad de algunos artículos de la LeyOrgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelanteLOPD)29. Y por último, una tercera fase que afecta a la resolución de conflictos entre derechos funda-mentales, como ocurre cuando la protección de datos colisiona con la libertad de expresión y la libertadde información, que debemos advertir no son los únicos derechos que pueden verse enfrentados. Qui-zás un caso paradigmático y muy interesante de colisión de derechos es el de Tatiana Tarasoff, dondeel problema surge entre la protección de datos y la intimidad de un sujeto por un lado y el derecho ala vida y la integridad física de la persona, de otro lado. Prosenjit Poddar, llegó a estudiar a Californiaa fines de los sesenta. En ese Estado conoció, en 1968, a Tatiana Tarasoff. Iniciaron una relación queProsenjit interpretó como seria, visión que no era compartida por Tatiana. Al darse cuenta Tatiana dela disparidad de opiniones le dijo a Prosenjit que no deseaba iniciar una relación amorosa con él. Elrechazo provocó en el estudiante una grave crisis emocional, tornándose una persona fuertemente de-presiva.

Durante 1969, con posterioridad a un viaje de Tatiana a Brasil, Prosenjit buscó apoyo profesional yen agosto de ese año figuraba como paciente externo en el Cowell Memorial Hospital. En un comienzofue visto por el Dr. Stuart Gold, psiquiatra, para posteriormente ser derivado al cuidado del psicólogoLawrence Moore. En su novena sesión con Moore, el 18 de agosto de 1969, el estudiante le confidencióque iba a matar a una mujer, claramente identificable como Tatiana, cuando ésta retornase de Brasil.Dos días después, Moore notificó a la policía que Poddar sufría de una reacción esquizofrénica para-noide y que se encontraba en riesgo de dañarse a sí mismo, o de dañar a otros. La policía del campusretuvo a Poddar y lo liberó una vez que el estudiante había cambiado de actitud. En octubre siguienteTatiana, al regresar de Brasil, continuó siendo acosada por Poddar, siendo acuchillada y muerta poréste el 29 de ese mes.

Los padres de Tatiana Tarasoff, decidieron querellarse en contra de la Universidad de California y suspsicoterapeutas. Una de las quejas contenidas en la demanda era que los psicoterapeutas no habíandado oportuno aviso a Tatiana, o a sus cercanos, de las intenciones que tenía Prosenjit de matar a supretendida. Tanto la Corte del Condado de Alameda, como la Corte de Apelaciones correspondiente,encontraron que no había razones para condenar, agregando esta última que al no existir relación al-guna entre el psicoterapeuta y Tatiana, o sus padres, no existía, por consiguiente, la obligación de in-formar. La Corte Suprema de California, sin embargo, pensó distinto. En su decisión final sostuvo,entre otras consideraciones, la siguiente: "… los terapeutas no pueden escapar a su responsabilidadsimplemente porque Tatiana no era su paciente. Cuando un terapeuta determina, o de acuerdo a losestándares de su profesión, debiese determinar, que su paciente representa un serio peligro para otros,le asiste la obligación de ejercer cuidados razonables dirigidos a proteger a las víctimas de tal peligro.El cumplimiento de este deber puede requerir del terapeuta tomar una o más medidas, dependiendode la naturaleza del caso. Así, puede llevarlo a advertir a la posible víctima o a otros que puedan ad-vertir a la víctima del peligro, notificar a la policía o tomar las medidas que sean razonablemente ne-cesarias en esas circunstancias".

Los datos de carácter personal relativos a la salud son datos palmariamente sensibles desde el puntode vista de la intimidad personal. De hecho, el RGPD los ha calificado en su artículo 9 como “cate-

28 STC 290/2000, de 30 de noviembre, fundamentos jurídicos 14 a 19, (BOE núm.4 de 4 de enero de 2001).

29 STC 292/2000, de 30 de noviembre, fundamentos jurídicos 14 a 18, (BOE núm.4 de 4 de enero de 2001).


gorías especiales de datos personales”. Paralelamente a esta regulación, los datos referentes a la saludy cualquier otra información obtenida con ocasión de una relación médico-paciente ya son objeto deuna especial protección en su tratamiento y difusión como consecuencia del deber de secreto profe-sional que obliga a los médicos no sólo desde un punto de vista ético, sino también jurídico. Losprofesionales de la medicina, obedecen a un deber de reserva y confidencialidad, impuesto por la re-gulación que se esgrime sobre la protección de datos de carácter personal, de un lado, y el secreto mé-dico, de otro. Aquel deber de reserva y confidencialidad está orientado a salvaguardar la intimidaddel paciente, pero no es absoluto, pues el legislador ha previsto casos en los que la protección cede yesa información referida a la salud y vida privada de un paciente, que además, tiene una especialgarantía a través del derecho fundamental a la protección de datos personales, puede o incluso debeser comunicada a terceros, aun prescindiendo del consentimiento del interesado30.

La Corte Suprema de California, cercana al actual planteamiento europeo, afirma que el derecho a laintimidad termina donde el peligro público comienza y la sentencia de 1976 razona que una vez quese haya podido predecir la conducta peligrosa, el deber impuesto a los terapeutas consiste en “proteger”y no solo en “avisar o advertir” a la víctima, dando especial primacía al derecho a la vida y la integridadfísica y síquica de la persona ofendida31.

2.2 Concepto: ¿Qué es el derecho fundamental a la protección de datos personales?

Mucho se ha discutido en la doctrina sobre si la protección de datos es o no un derecho de configura-ción legal. Lo cierto es que esto tiene una relevancia menor si nuestro objetivo a la hora de definirloes concentrarnos en su contenido. Para definirlo hemos tenido en consideración la STC 292/2000, de30 de noviembre, en tanto, en cuanto, establece una clara diferenciación entre el derecho a la intimidady el derecho a la protección de datos personales. Dicha sentencia hace alusión a un contenido negativoy positivo del derecho fundamental a la protección de datos, mientras que reserva para el derecho a laintimidad solo un contenido negativo. De esta forma, en cuanto a la protección de datos, su contenidonegativo, vendría dado por esa esfera de abstención que debe respetar el poder público, ese ámbito delibertad en el que el ciudadano no debe verse entrometido ni perturbado. Respecto de su contenidopositivo, hace referencia a ese entorno en el que no hay una abstención si no que deben acontecer cier-tas conductas, como la garantía y protección. Ambas aristas del contenido se han conocido como li-bertad informática o habeas data e incluso como derechos ARCO (hoy derechos del interesado) quehacen clara alusión a la disposición y control que se tiene sobre los datos personales. Son precisamenteestas características las que lo diferencian del derecho a la intimidad. La intimidad es un derecho decontenido meramente negativo, que promueve a la no intromisión en esa esfera propia donde el sujetotiene la capacidad de excluir a terceros con los que no quiere compartir su vida íntima, porque consi-dera que no merecen ser conocedores de aquello que les afecta32.

En definitiva, podemos definir el derecho a la protección de datos como “el derecho fundamental delas personas físicas, que se traduce en la potestad de control, disposición y decisión sobre el uso desus datos personales, sean íntimos o no, que además, garantiza que los terceros utilizarán los datospersonales con el debido respeto, de forma tal, que el titular en todo momento sepa qué va a hacerquien trata sus datos, para qué los recoge, cómo los trata y a quién se los cede o comunica33”.

30 PARDO LÓPEZ, M. (2007). “Intimidad personal, protección de datos sanitarios e intromisiones legítimas: una pro-yección hipotética de la doctrina Tarasoff sobre el ordenamiento jurídico español”. Anales de derecho. Universidadde Murcia. Número 25. Págs. 181 – 214.

31 SALINAS, R. (2007). “La confidencialidad de la consulta psiquiátrica y el deber de protección a terceros: el caso Ta-rasoff”, Revista chilena de neuro-psiquiatría, volumen 45 (núm.1). (Disponible enhttps://scielo.conicyt.cl/pdf/rchnp/v45n1/art11.pdf, fecha última consulta:25.01.2019)

32 STC 292/2000, de 30 de noviembre.

33 Idem.


3. MARCO NORMATIVO APLICABLE A LA PROTECCIÓN DE DATOS Y PRIVACIDADEN ESPAÑA

3.1 Normativa Europea

3.1.1 Reglamento General de Protección de Datos 2016/679 (RGPD): Fundamentos del Reglamento,objetivos de la Reforma y novedades.

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo ala protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la librecirculación de estos datos y por el que se deroga la Directiva 95/46/CE. fue publicado en el DOUE el4 de mayo de 2016 y es plenamente aplicable desde el 25 de mayo de 2018.

El texto constituye el marco general de regulación del tratamiento de datos de carácter personal en laUnión Europea. Al tratarse de un Reglamento, esta norma es directamente aplicable y no precisa niadmite trasposición por parte de los Estados Miembros. De la misma forma que la normativa anterior,este Reglamento es aplicable al tratamiento de datos de personas físicas, no jurídicas34.

El RGPD, encuentra su fundamento legal en el artículo 16 del TFUE, disposición que establece el de-recho a la protección de datos de las personas físicas y la obligación del Parlamento Europeo y delConsejo, de las instituciones, órganos y organismos de la Unión y de los Estados Miembros a dictarlas normas pertinentes en la materia35.

En cuanto a los objetivos de la reforma, podemos desprenderlos del título del cuerpo normativo. Porun lado, la regulación del derecho fundamental a la protección de datos y por otro, garantizar la librecirculación de los datos36. De igual forma, se esgrimió como objetivo principal del RGPD, la homo-geneización del nivel de protección de datos en los distintos Estados de la Unión y adaptar la normativade protección de datos al nuevo entorno tecnológico determinado por la expansión de internet y lasredes sociales37.

Algunas de sus novedades son: ampliación del ámbito de aplicación territorial fuera de la Unión Eu-ropea en determinadas circunstancias; incorpora el principio de responsabilidad proactiva y el enfoquede riesgo; añade las categorías especiales de datos, entre ellas, los datos genéticos y biométricos; re-fuerza el consentimiento; establece la edad de 16 años para el consentimiento válido del menor frentea los servicios de la sociedad de la información; refuerza el deber de informar; establece nuevos de-rechos del interesado, el derecho a la limitación del tratamiento y la portabilidad; incorpora la figuradel delegado de protección de datos; establece un sistema de ventanilla única, etc38.

3.2 Normativa Nacional

3.2.1 Constitución Española de 1978

La Constitución Española recoge en el art. 18.4 una de las primeras menciones constitucionales a loque posteriormente se ha construido como derecho de protección de datos. Conforme establece elmismo “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y fa-miliar de los ciudadanos y el pleno ejercicio de sus derechos”. Pese a que el derecho a la protección

34 GUEVARA SAN MATEO, M. (2017). El impacto del Big Data en la protección de datos personales. Análisis de losavances normativos en materia de protección de datos,(Tesis de grado), Universidad Jaime I, España, pág.18. (Dis-ponible en http://repositori.uji.es/xmlui/bitstream/handle/10234/175806/TFG_2018_Guevara%20Sanma-teo_Mar.pdf?sequence=1&isAllowed=y, fecha última consulta:2.12.2018)

35 CRISTEA UIVARU, L. (2017). La protección de datos de carácter sensible en el ámbito europeo. Historia clínicadigital y Big Data en salud, (Tesis doctoral), Universitat Abat Oliba CEU, España, pág.240. (Disponible enhttps://www.tdx.cat/bitstream/handle/10803/442972/Tlcu.pdf?sequence=1&isAllowed=y, fecha última con-sulta: 08.10.2018)


37 Considerando 10 RGPD.

38 Artículos 3 a 37 RGPD.


de datos no está recogido expresamente en el texto constitucional su vinculación a la dignidad de lapersona, (art.10.1 CE)39 es aquello que le proporciona la debida consistencia constitucional, siendoparte junto al derecho al honor, a la intimidad personal y familiar y a la propia imagen de los valoressuperiores de la sociedad y de los principios generales del derecho40.

Con la inclusión del vigente art. 18.4 CE el constituyente admite conciencia de los riesgos que podríaentrañar el uso de la informática y encomienda al legislador la garantía tanto de ciertos derechos fun-damentales como del pleno ejercicio de los derechos de la persona, incorpora un instituto de garantíacomo respuesta a una nueva forma de amenaza a la dignidad, en definitiva, establece un derecho o li-bertad fundamental:

“el derecho de protección de datos” que además de un instituto de garantía de otros dere-chos, fundamentalmente el honor y la intimidad, es también, en sí mismo, un derecho olibertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dig-nidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento meca-nizado de datos.

De esta forma, el constituyente en el actual art. 18.4 CE garantiza “no sólo un ámbito de protecciónespecífico sino también más idóneo que el que podían ofrecer, por sí mismos, los derechos fundamen-tales mencionados en el apartado 1 del precepto”41

6.2.2 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos Personales y Garantía de losDerechos Digitales

Con fecha 6 de diciembre de 2018 se publicó en el BOE la nueva Ley Orgánica 3/2018, de 5 de di-ciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Su antecedente di-recto, es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personaly el Real Decreto 1720/2007, por el que se aprueba el reglamento de desarrollo de la misma42.

La Ley Orgánica 15/1999, fue el cuerpo normativo por el que se transpuso la Directiva 95/46/CE delparlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas fí-sicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, ac-tualmente, derogada y sustituida por el Reglamento (UE) 2016/679 del Parlamento Europeo y delConsejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta altratamiento de datos personales y a la libre circulación de estos datos43.

La Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales tiene por objetoadaptar el ordenamiento jurídico español al RGPD y garantizar los derechos digitales de la ciudadaníaconforme al mandato establecido en el artículo 18.4 de la Constitución Española.

4. EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS PERSONALESFRENTE AL USO DEL BIG DATA EN EL RGPD

4.1 ¿Qué es un dato personal?

El RGPD (o GDPR) define los datos personales en el artículo 4 como:

toda información sobre una persona física identificada o identificable («el interesado»);

39 Artículos 18 n°4 y 10 n°1, Constitución Española de 1978.

40 CONDE ORTIZ, C. (2005). La protección de datos personales. Un derecho autónomo con base en los conceptos deintimidad y privacidad, 1ª edición, Madrid, Dykinson, pág.13.

41 STC 292/2000, de 30 de noviembre.

42 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOEnúm.294 de 6 de diciembre de 2018).

43 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (BOE núm.298 de 14 de di-ciembre de 1999).


se considerará persona física identificable toda persona cuya identidad pueda determinarse,directa o indirectamente, en particular mediante un identificador, como por ejemplo unnombre, un número de identificación, datos de localización, un identificador en línea ouno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, eco-nómica, cultural o social de dicha persona44.

Esta definición engloba como dato personal cualquier información que identifique o permita identificara una persona. En particular, se ha ampliado el concepto de dato personal para recoger también infor-mación digital, tales como cookies, direcciones IP o Identificadores de dispositivos móviles. Esdecir, aunque esos datos no estén unidos a un nombre, si te permiten identificar a una persona unívo-camente, el RGPD los interpretaría como datos personales45.

De este modo, el Reglamento ha mantenido el concepto de la Directiva 95/46/CE del Parlamento Eu-ropeo y del Consejo, de 24 de octubre de 1995, por lo que mucho de lo ya dicho durante la vigenciade la Directiva será igualmente aplicable con la nueva regulación.

4.2 Concepto de Tratamiento de Datos Personales. Referencias al Responsable y Encargado deltratamiento de datos.

El artículo 4 en su apartado 2 nos explica claramente qué debemos entender por tratamiento de datos:

cualquier operación o conjunto de operaciones realizadas sobre datos personales o con-juntos de datos personales, ya sea por procedimientos automatizados o no, como la reco-gida, registro, organización, estructuración, conservación, adaptación o modificación,extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otraforma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destruc-ción46

En cuanto a los conceptos de responsable y encargado del tratamiento el RGPD establece que el res-ponsable:

es la persona física o jurídica, autoridad pública, servicio u otro organismo, que determinelos fines y medios del tratamiento, a continuación, define encargado como persona físicao jurídica autoridad pública, servicio u otro organismo que trate datos personales porcuenta del responsable del tratamiento. De esta forma, cuando un tercero, actuando ennombre del responsable, suministra los medios o la plataforma, por ejemplo, en el casode cloud computing, se considera que es el encargado47.

En todos estos casos será de especial aplicación el artículo 28 del RGPD, el responsable elegirá úni-camente a un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativasadecuadas de manera que el tratamiento sea conforme al Reglamento. Además, es indispensable queel tratamiento que realizará el encargado sea regido por un contrato u otro acto jurídico con arreglo alDerecho de la Unión o de los Estados Miembros, que vincule al encargado respecto del responsabley establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos perso-nales y categorías de interesados, y las obligaciones y derechos del responsable48.

44 Artículo 4 RGPD.

45 GRUPO DE TRABAJO DEL ARTÍCULO 29, Dictamen 4/2007, de 20 de junio, sobre el concepto de datos personales.W136. Págs. 6-24. (Disponible en https://docplayer.es/54190926-Dictamen-4-2007-sobre-el-concepto-de-datos-personales.html, fecha última consulta: 03.12.2018)

46 Artículo 4 apartado 2 RGPD.

47 Artículo 4 apartados 7 y 8 RGPD.



4.3 Los principios relativos al tratamiento de datos personales en el RGPD y sus desafíos en pro-yectos de Big Data.Con fecha 25 de mayo de 2018 el Reglamento General de Protección de Datos (RGPD) ha pasadoa ser de aplicación directa en todos los Estados Miembros. Este cuerpo normativo exige cambiosen aspectos fundamentales e introduce nuevas obligaciones, por lo que los Estados han trabajadoarduamente por adecuar su legislación en materia de protección de datos a esta nueva normativa.Se garantiza así, un nivel homogéneo y elevado de protección de las personas físicas a travésdel establecimiento de una serie de principios que exigen un nivel adecuado de coherencia yuniformidad a la hora de tratar datos de carácter personal. De esta forma, junto a los tradicionalesprincipios de calidad, proporcionalidad, finalidad, exactitud y actualidad, cancelación de oficioy licitud, el Capítulo II, en su artículo 5 del RGPD incorpora una gama de principios que confi-guran las directrices de protección en el tratamiento de datos personales49.

Uno de los desafíos más grandes que presentan estos principios es su probable incompatibilidadcon entornos altamente tecno-dirigidos, fenómenos como el Big Data y sus implicancias en laprotección de datos, conforman el objeto de análisis de las más importantes autoridades de losEstados a cargo de velar por el cumplimiento de las normas que regulan la materia. Por eso, nosparece fundamental abordar los principios del tratamiento de datos desde el punto de vista desu comportamiento en entornos de Big Data y los retos y problemas que plantea la utilizaciónde las tecnologías de análisis masivo para el cumplimiento de los mismos, en tanto, en cuanto,estos principios son claves y básicos, son principios que deben salvaguardarse cuando se realizaun análisis predictivo basado en Big Data si queremos que no se desvirtúe el derecho funda-mental a la protección de datos como una garantía incuestionable para los ciudadanos.

4.3.1 Licitud, lealtad y transparencia

El artículo 5.1.a del RGPD establece que los datos personales serán tratados de manera lícita,leal y transparente en relación con el interesado50. El art. 4.7 de la LOPD ya prohibía expresamentela recogida de datos por medios fraudulentos, desleales o ilícitos51. La mención a la licitud debe rela-cionarse con el art. 6 del RGPD, relativo a las condiciones de licitud del tratamiento52; mientras quela mención añadida por el art. 5 del RGPD a la transparencia, debe conectarse con el considerando 39y el art. 12 del RGPD, en el que se exige al responsable el deber de facilitar al interesado toda la in-formación relativa al tratamiento, en forma concisa, transparente, inteligible, de fácil acceso y queademás utilice un lenguaje sencillo y claro. En otras palabras, el derecho del ciudadano de conocer yacceder a toda la información que se posea sobre el mismo53.

En este entendido ¿qué problemas presenta este principio en proyectos de Big Data? Precisamente elanálisis masivo de datos en cuanto a su licitud al menos nos presenta algunas dudas, particularmenterespecto del cumplimiento de uno de los principios indispensables de legitimación del tratamiento “elconsentimiento informado”. El considerando 32 del Reglamento, define el consentimiento como “todamanifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta,ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales quele conciernen”54.

Para que el consentimiento sea libre, debe existir una opción real y control por parte del interesadorespecto de sus datos personales. Para que el consentimiento sea específico, las finalidades del trata-


50 Articulo 5.1 RGPD.

51 Artículo 4.7 de la Ley Orgánica 15/1999.


53 Artículo 12 y considerando 39 RGPD.



miento deben mantenerse inalterables una vez que el sujeto a consentido la recogida de sus datos. Queel consentimiento sea informado, significa que nuestro instrumento o forma de proporcionar la infor-mación debe contener todos los elementos exigidos en los artículos 13 y 14 del RGPD, el consenti-miento debe ser claro y distinguible de otras materias. Que el consentimiento sea explícito, quieredecir que deben usarse los medios que permitan comprobar que se ha otorgado el consentimiento efec-tivamente. Algunos de los medios que se podrán usar para cumplir con este requisito son: rellenar unformulario electrónico, utilizar la firma electrónica, enviar un documento escaneado con la firma delsujeto. Que el consentimiento contenga una manifestación inequívoca implica una acción deliberadao clara acción afirmativa por parte del sujeto interesado que demuestre conformidad con un tratamientoconcreto55.

De acuerdo a estas pautas, podemos tener la osadía de asegurar que en entornos de Big Data no estamospara nada cercanos a cumplir con todas estas condiciones en aras de obtener un consentimiento válido.Hasta el momento, el principal mecanismo que permite que las empresas traten nuestros datos es elconsentimiento de los usuarios. Por ello, desde hace años, la forma de ejercer el consentimiento hasido a través de las políticas de privacidad online ofrecidas a los usuarios como términos unilaterales,con aspiraciones de contractuales, que se han convertido en la piedra angular de la protección de laprivacidad online, a pesar de la palmaria evidencia de que la ma yoría de las personas ni siquiera leelos términos o definitivamente no los comprende. Pongamos un ejemplo de actividades en las quediariamente se generan y almacenan datos de forma cotidiana, tal como, abrirse un perfil en una redsocial, comprar a través de internet, descargar una aplicación móvil o viajar. Todas estas actividadescrean datos brutos cuyo tratamiento posterior justi fica que el individuo otorgue su consentimiento.Este problema se vuelve más acuciante con la llegada del Big data, debido a que nuestro día a día estáahora inundado de dispositivos que recaban datos personales56.

Por último, debemos reparar en un detalle especialísimo, el RGPD nos habla de un consentimientoinformado, dicha información, tal y como señala el considerando 60 del RGPD, “… puede transmitirseen combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligibley claramente legible, una adecuada visión del conjunto del tratamiento de datos previsto”, lo que paraalgunos responsables del tratamiento se ha traducido exclusivamente en aplicar las técnicas de lenguajesencillo, políticas fáciles de comprender y casillas o ventanillas fáciles de iden tificar en las que losusuarios pueden indicar su consentimiento57.

El análisis masivo de datos se caracteriza por la falta de transparencia y de información sobre cómose almacenan y usan nuestros datos, haciéndonos víctimas de decisiones que desconocemos y no po-demos controlar. Un ciudadano medio, desconoce qué datos suyos están circulando, quiénes los estánmanejando y con qué fines. En la medida que una persona navega por internet, muchas veces en formainvoluntaria está facilitando información basada en toda esa navegación, aplicaciones, gustos, pro-ductos que consume, qué periódico digital lee, etc. y el riesgo es aún más alto si mediante la combi-nación de datos procedentes de distintas fuentes puede obtenerse información sensible de una personacomo su ideología, orientación sexual o estado de salud, datos que el RGPD denomina como espe-cialmente protegidos.

El ciudadano medio, desconoce que existe una multiplicidad de actores en el tratamiento de datos ma-sivos, sujetos intermediarios o agentes de datos, Data Broker, que se dedican a realizar análisis pre-dictivos extrayendo la información de distintas bases de datos, información que luego negociarán con

55 Grupo de trabajo del artículo 29, (2017). Directrices sobre el consentimiento en el sentido del Reglamento(UE)2016/679. WP259. (Disponible enhttp://www.avpd.euskadi.eus/contenidos/informacion/20161118/es_def/adjuntos/wp259rev01__es20180709.pdf, fecha última consulta: 12.12.2018)

56 GIL GONZÁLEZ, E. (2017). “Big Data: consentir o no consentir, ésa es la cuestión”, ECIJA, (Disponible enhttps://ecija.com/big-data-consentir-no-consentir-esa-la-cuestion/, fecha última consulta: 25.12.208)



otras empresas. La mayoría de los usuarios desconocen que sus interacciones en Internet van dejandohuellas y que estas se transforman en datos que se recopilan en su navegación y son empleados paradirigirles, por ejemplo, publicidad comportamental, después de haber realizado un análisis predictivoa través de la elaboración de perfiles, el llamado Profiling. En todo caso, debemos tener en cuentaque para estas situaciones el artículo 22 del RGPD regula una variante del derecho de oposición res-pecto de las decisiones individuales automatizadas, incluida la elaboración de perfiles, que va a teneruna gran importancia en los tratamientos de Big Data58.

Los ciudadanos deben ser informados sobre qué datos personales son recogidos, cómo van a ser tra-tados, para qué finalidades serán usados y si serán cedidos a terceros. Además, deben poder conocersus perfiles y acceder a la información a la que se aplican esos algoritmos para desarrollar los perfiles.Eso implica conocer también las fuentes o bases de datos de las que se han sacado sus datos.

4.3.2 Limitación de la finalidad:

El artículo 5. 1 letra b) del RGPD establece, “que los datos personales serán recogidos con fines de-terminados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con di-chos fines”. A este respecto en el RGPD existe la posibilidad de realizar tratamientos de datos confinalidades distintas de las recogidas siempre y cuando se de una serie de presupuestos59. Así enel 6.4 se establece que el responsable de tratamiento con objeto de determinar si dicho fin es compatibletendrá en cuenta una serie de cuestiones60:

Cualquier relación entre los fines para los cuales se hayan recogido los datos personalesa.y los fines del tratamiento ulterior previsto;

El contexto en que se hayan recogido los datos personales, en particular por lo que respectab.a la relación entre los interesados y el responsable del tratamiento;

La naturaleza de los datos personales, en concreto cuando se traten categorías especialesc.de datos personales, de conformidad con el artículo 9, (Categorías especiales de datos per-sonales) o datos personales relativos a condenas e infracciones penales, de conformidadcon el artículo 10 (Datos relativos a condenas e infracciones);

Las posibles consecuencias para los interesados del tratamiento ulterior previsto;d.

La existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.e.

Asimismo, dispone el RGPD que el tratamiento ulterior de los datos con fines de archivo en interéspúblico, fines de investigación científica e histórica o fines estadísticos, no se considerará incompatiblecon los fines iniciales. Este principio enlaza con el de calidad ya previsto en el art. 4.2 de la derogadaLOPD, en su vertiente de principio de finalidad, en el que expresamente se establecía que no eran in-compatibles los tratamientos posteriores con finalidades históricas, estadísticas o científicas61.

En entornos de Big Data, este principio adquiere grandes desafíos. El análisis masivo de datos colisionadirectamente con limitar la finalidad. La actividad que realizan las empresas u organizaciones que uti-lizan tecnología para grandes volúmenes de datos, es almacenar cuantos más datos obtengan, porquepara ellos el valor de los datos está en su posible uso futuro, en las posibles aplicaciones futuras quepuedan darse a estos datos. Por lo tanto, el problema que nos planteamos es hasta qué punto ese fininicial para el cual se han recabado los datos y para el cual sí que hemos prestado nuestro consenti-miento, es compatible con las futuras finalidades a las que se van a destinar nuestros datos persona-les62.


59 Artículo 5.1 letra b. RGPD

60 Artículo 6.4 RGPD

61 Artículo 4.2 Ley Orgánica 15/1999.

62 GONZÁLEZ PEDRAZ, J. (2014). “Desafíos que para la privacidad y la protección de datos implica el Big Data”.


Tan solo imaginemos, que solicitamos a un Banco una tarjeta de crédito, la institución bancaria reco-gerá una serie de datos personales para emitir esa tarjeta. Hemos prestado nuestro consentimiento paraque nuestros datos sean utilizados en este contexto de expedición y desarrollo de esta forma de pagomás cómoda que es la tarjeta de crédito. Pero, ¿qué sucede después? Utilizamos la tarjeta de créditoque contiene los datos que alguna vez aportamos para obtener dicha tarjeta, y ahora, además, los datosque emanan de nuestro consumo. La institución bancaria obtendrá una información interesante parasus análisis predictivos que las tecnologías de Big Data le permiten, probablemente como es de cos-tumbre en el marketing bancario, la utilizará para la elaboración de perfiles crediticios y para deter-minar nuestra solvencia y capacidad crediticia y de pago, a la hora de concedernos, por ejemplo, uncrédito hipotecario o cualquier tipo de préstamo bancario, lo que evidentemente excede de las finali-dades para las que hemos prestado nuestro consentimiento.

Los datos personales van a ser reutilizados para una finalidad diferente de aquella para la que fueronrecogidos. Esto exige recabar previamente el consentimiento de los interesados antes de realizar eseanálisis predictivo. Las empresas deberán informar de que los datos personales van a ser utilizadospara ser analizados de determinada forma, por ejemplo, con fines comerciales, para establecer perfilesde consumidores. Lo cual resulta muy difícil en la práctica cuando son terceros distintos de los querecogieron los datos quienes van a analizarlos, situación que es normal en entornos de Big Data.

Seguidamente cabe preguntamos ¿cómo se van a dar cumplimiento en este contexto al deber de in-formación y a la condición de obtener el consentimiento del afectado para esos nuevos tratamientos,que, por lo general, a priori se desconoce cuáles serán?

4.3.3 Minimización de Datos:

El artículo 5.1 letra c) del RGPD, establece que los datos personales serán adecuados, pertinentes ylimitados a lo necesario en relación con los fines para los que son tratados63. Este principio debe co-nectarse con el de calidad previsto en el antiguo art. 4 de la LOPD, en su vertiente de principio deproporcionalidad, según el cual los datos personales sólo se pueden recoger y/o tratar cuando seanadecuados, pertinentes y no excesivos64. Cobra especial valor el sentido de la “Necesidad” ya estable-cido por la Jurisprudencia del Tribunal Constitucional, de tal manera que, si el objetivo podría alcan-zarse sin realizar un tratamiento de datos, los mismos no deberían ser tratados. Por otro lado, dichalimitación a lo necesario debe ser evaluada desde un punto de vista cuantitativo (volumen de datos)como cualitativo (categoría de datos)65. Así se establece en el considerando 39: “Los datos personalessolo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros me-dios66”.

La idea fundamental de este principio, es que no nos pidan más datos personales que los estrictamentenecesarios, es decir, si por ejemplo, para realizar una gestión en una determinada administración pú-blica o para prestarnos un servicio empresarial, hace falta solamente aportar el nombre y apellido,aquellas instituciones no recojan, además, el número de DNI o el número de nuestra tarjeta de segu-ridad social etc.

En entornos de Big Data, las empresas u organizaciones aprovechan todos los beneficios que le per-miten las tecnologías de análisis de grandes volúmenes de datos, consecuencia lógica del enorme yactual abaratamiento de costes en el almacenamiento de datos, por lo tanto, aquellas recabarán todos

VII Jornada de la red de bibliotecas, Big Data y Bibliotecas: convertir datos en conocimiento. (Disponible enhttps://www.cervantes.es/imagenes/File/biblioteca/jornadas/jornada_7/judith_gonzalez_presentacion_7_jornada_rbic.pdf, fecha última consulta: 5.11.2018)

63 Artículo 5.1 letra c, RGPD.

64 Artículo 4 Ley Orgánica 15/1999.

65 GONZÁLEZ PEDRAZ, Op. cit.66 Considerando 39 RGPD.


los datos posibles para poder explotarlos y sacar valor añadido a los mismos con futuros usos. Final-mente, nos encontramos con datos que resultan excesivos en ese aspecto y plantean también un pro-blema de cumplimiento del principio de calidad de los datos.

4.3.4 Exactitud de los datos.

El artículo 5.1 letra d) del RGPD, establece que los datos personales serán exactos y, si fueranecesario, actualizados. Y seguidamente añade el precepto que:

se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilaciónlos datos personales que sean inexactos con respecto a los fines para los que se tratan”67.A este respecto señala también el considerando 39 que: “Deben tomarse todas las medidasrazonables para garantizar que se rectifiquen o supriman los datos personales que seaninexactos68

Este principio ya lo encontrábamos en el art. 4.3 de la antigua LOPD, en el que se imponía que losdatos deben ser exactos y puestos al día de modo que respondan con veracidad a la situación actualdel afectado69. Dos comentarios al respecto. En primer lugar, este principio de exactitud está directa-mente relacionado con el derecho de rectificación, regulado en el art. 14 de la Ley Orgánica 3/201870

y -también- 16 del RGPD. En virtud de este derecho, si la persona detecta que sus datos contienen al-guna inexactitud, puede solicitar que se rectifiquen, petición que debe atenderse por parte del respon-sable en el plazo de un mes, en el nuevo RGPD71. En segundo lugar, la nueva Ley Orgánica 3/2018que se ha hecho pública recientemente, en su art. 4 recoge lo que denomina “principio de exactitud”72,en virtud del cual, “se presumirán exactos y actualizados los datos obtenidos directamente del afec-tado”.

Y la pregunta que nos surge es ¿los datos recogidos mediante las tecnologías para Big Data, po-seen la característica de exactitud? A este respecto, cuando hacemos análisis de grandes datos,estamos dando por veraces una gran cantidad de información, que muchas veces ha sido reco-gidas desde fuentes que no nos aportan gran fiabilidad, como, por ejemplo, los datos a los quese accede de manera online ¿estás fuentes están verificadas?, pues depende del tipo de fuente ala que accedamos. Generalmente, cuando visitamos una página web de los registros públicos ode fuentes oficiales, podríamos tener la tranquilidad de que se trata de datos reales, pero en otrasocasiones podemos encontrarnos con sitios online de dudosa confiabilidad. Esta es una posibi-lidad que debemos considerar siempre, no todos los resultados de análisis masivo van a ser acer-tados si no partimos de datos exactos, sobre todo cuando hablamos de datos de carácterpersonal73.

Por otro lado, a veces, podemos contar con un dato que es cierto y exacto, pero que puede llegara desvirtuarse cuando es utilizado en un contexto distinto de aquel en el que fue recabado o parael propósito o finalidad para la que fue recogido, de tal manera que, aunque el dato en sí mismoes cierto, es veraz, no refleja la situación actual del individuo. Piénsese en lo que ocurre hoy endía con las redes sociales, a veces una fotografía de Facebook, sacada del contexto en el que seha producido y aplicada a otro ámbito, por ejemplo, el laboral, para determinar cuál es el nivelde confianza en una relación contractual, de carácter laboral que puede ofrecer determinado in-dividuo, puede arrojar una resultado falso y perjudicial para este último y para quien desee con-tratar con él74.

67 Artículo 5.1 letra d, RGPD.


69 Artículo 4.3 Ley Orgánica 15/1999.

70 Articulo 14 Ley Orgánica 3/2018.


72 Artículo 4 Ley Orgánica 3/2018.

73 GONZÁLEZ PEDRAZ, Op. cit.74 Ídem.


La predicción perfecta, es imposible, no existe. Lo que nos permite el Big Data, es obtener pro-babilidades, es decir, dadas determinadas circunstancias es bastante probable que se produzcaun determinado resultado, pero no nos permite concluir el “por qué” de ese resultado, si no solopermite obtener el “qué”, dejando a un lado las relaciones de causalidad. Por lo tanto, podemosestar considerando algunos elementos que nos proporcionan determinada información y podemosestar dejando fuera otros, sobre todo cuando lo que analizamos es el comportamiento de las per-sonas. Lo que queremos explicar es que, no siempre que se den determinadas circunstancias, sevan a producir determinados resultados75.

4.3.5 Limitación del plazo de conservación

El artículo 5.1.e) del RGPD determina que los datos personales deben ser mantenidos de forma quese permita la identificación durante no más tiempo del necesario para los fines del tratamiento, aña-diendo que:

podrán conservarse durante períodos más largos siempre que se traten exclusivamente confines de archivo en interés público, fines de investigación científica o histórica o fines es-tadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación delas medidas técnicas y organizativas apropiadas que impone el presente Reglamento a finde proteger los derechos y libertades del interesado76.

Hoy en día, la materia queda regulada en el artículo 15 de la NLOPD, que mandata a que el derechode supresión se ejercerá de acuerdo con lo establecido en el artículo 1777 y el Considerando 39 delRGPD, que reza: “Para garantizar que los datos personales no se conservan más tiempo delnecesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión perió-dica”78

Dirigiendo nuestro principio de limitación del plazo de conservación a entornos de Big data, se debetener en cuenta, que cuando se está realizando un análisis predictivo, los datos son conservados profuturo, es decir, son conservados en el tiempo porque serán explotados de otras maneras, destinadosa otras finalidades. Nuestra duda repara en ¿cómo conciliar el plazo de conservación de los datos quedeberá ser el mínimo posible teniendo en cuenta la finalidad para la cual fueron recogidos, si en elanálisis masivo de datos la finalidad se vuelve una simple probabilidad?, ya que, cuando hablamos detratamiento de grandes volúmenes de datos, nos encontramos con una finalidad principal y unas pro-bables finalidades secundarias, muchas veces desconocidas, ¿se deben cancelar los datos porque seestarán usando más allá del tiempo necesario en relación con la finalidad para la que se prestó el con-sentimiento, o bien, se debe recabar nuevamente el consentimiento del interesado?, cuestiones difícilesde responder79.

Por último, la cuestión planteada, también se complica cuando el RGPD establece que, sobre el plazode conservación, debe tenerse en cuenta que entre la información que se exige facilitar al interesadocuando se obtienen sus datos personales, se incluye la relativa al plazo de conservación, o al menos,sobre los criterios utilizados para determinarlo (artículo 5.2.a)80.

75 Ídem.

76 Artículo 5.1 letra e, RGPD.

77 Artículos 15 y 17 Ley Orgánica 3/2018


79 Agencia Española de Protección de Datos y a la Asociación Española para el Fomento de la Seguridad de la Informa-ción, ISMS Forum Spain, (2016). Código de buenas prácticas en protección de datos en proyectos de Big Data,pág.16 (Disponible en https://www.aepd.es/media/guias/guia-codigo-de-buenas-practicas-proyectos-de-big-data.pdf, fecha última consulta: 11.10.2018)

80 Artículo 5.2 letra a, RGPD.


4.3.6 Integridad y Confidencialidad

El artículo 5.1 letra f) del RGPD, establece que:

los datos personales serán tratados de tal manera que se garantice una seguridad adecuadade los datos personales, incluida la protección contra el tratamiento no autorizado o ilícitoy contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas téc-nicas u organizativas apropiadas, es decir lo que denomina “integridad y confidenciali-dad”81.

Lo que viene a decir el RGPD, y así lo detalla en el considerando 39, es que las medidas deben irorientadas a impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el trata-miento82. Por su parte, el considerando 49 refuerza este principio al señalar que el tratamiento de datospersonales se realizará en la medida estrictamente necesaria y proporcionada para garantizar la segu-ridad de la red y de la información, es decir, la capacidad de una red o de un sistema información deresistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas omalintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad delos datos personales conservados o transmitidos83.

Bien, vamos a recordar una situación que aconteció hace unos meses, con el fin de poner en contextonuestro principio de integridad y confidencialidad. En el mes de marzo de 2018, el Chief TechnologyOffice (CTO) de Facebook, Mike Schroepfer, a través de un comunicado, reconocía que “los datos demás de 87 millones de personas habían podido ser compartidos de forma indebida con CambridgeAnalytica”. Cambridge Analytica habría creado perfiles de personalidad en base a esos datos sustraídosindebidamente de la plataforma. La información podría haber servido supuestamente para influir enel resultado de la campaña presidencial de Donald Trump, perfilando al votante como consumidor deun producto (el candidato), lo que permitiría adecuar ese “producto” en base a los perfiles de perso-nalidad generados con los datos de los usuarios84.

La anterior noticia, irremediablemente daña la confianza en el tratamiento de datos masivos, ya queevidencia que en su procesamiento y gestión existen intereses contrarios a los de los usuarios, queinocentemente confían en que las tecnologías del siglo XXI proporcionan un nivel de privacidad dealta seguridad, generando así, la convicción de tener el control de la información que aportamos, delos lugares por donde se mueven nuestros datos, de las personas que los manejan y de usos que lesestán dando85.

Por otra parte, las tecnologías de Big data utilizan múltiples plataformas y sistemas. Algunos de ellos,como el almacenamiento y el procesamiento en la nube, generan tanta diversidad, que puede dar lugara que queden espacios de seguridad explotables por ciberdelincuentes. Si los servidores son interve-nidos, entonces toda la visibilidad del Big data y sus resultados se enceguecen y confunden. Y juntoa esta confusión, surge el problema del compromiso de la integridad y confidencialidad de los datospersonales. En definitiva, debido a que el almacenamiento de grandes cantidades de datos hoy es eco-nómicamente accesible, el principal desafío al que se enfrentan las empresas es asegurar que solo laspersonas adecuadas puedan acceder a determinadas categorías de información.

El tema adquiere mayor gravedad, cuando el tratamiento de datos tiene como objetos datos sensible,

81 Artículo 5.1 letra f, RGPD.

82 GONZÁLEZ PEDRAZ, Op. cit.83 Considerando 49 RGPD.

84 UNIVISION (2018). Facebook reconoce que fueron 87 millones (y no 50 millones) los usuarios afectados por la fil-tración de datos a Cambridge Analytica. (Disponible en https://www.univision.com/noticias/politica/facebook-dice-que-fueron-87-millones-de-usuarios-los-afectados-por-la-filtracion-de-datos, fecha última consulta: 10.11.2018).

85 ALONSO, B. (2018). “Implicaciones éticas en el uso de los datos personales”, BBVA, Data & Analitycs, (Disponibleen https://www.bbvadata.com/es/ethical-implications-of-personal-data-usage-from-corporations/, fecha úl-tima consulta 06.12.2018)


aquellos que el RGPD denomina como categorías especiales de datos. Como olvidar el bullado casode Target Corporation, una cadena de grandes almacenes de Estados Unidos, que como labor de mar-keting usaban el tratamiento de datos masivos para conocer qué clientas suyas estaban embarazadas.Ya que como es sabido, el nacimiento de un niño cambia totalmente lo hábitos de consumo de una fa-milia, Target se propone dirigirles publicidad específica a aquellas familias que esperan la llegada deun nuevo integrante. De esta manera, el responsable del programa de fidelización de clientes, utilizandola técnica de minería de datos, (altamente vinculada al Big data, pues requiere de tecnologías que lepermitan agilizar el procesamiento y gestión de los datos) vio que había patrones similares en las dis-tintas etapas del embarazo respecto de los productos que compraban las mujeres. Las embarazadascompraban más cantidad de loción sin aromas en el segundo trimestre de embarazo. En las primerasveinte semanas de gestación compraban complejos multivitamínicos con calcio, magnesio, zinc, etc.Así encontraron 25 productos que permitían asignar a cada compradora una puntuación de “predicciónde embarazo”. Y, sobre todo, el método facilitaba asignar la fecha del parto. De este modo Target en-viaba a sus clientes cupones para cada necesidad específica en las distintas etapas del embarazo. Lacadena de supermercados asignó a cada compradora un número “de invitado” que estaba vinculado asu tarjeta de crédito, a su nombre y a su correo electrónico. Los datos de esos productos marcadospara embarazadas se iban acumulando e iban perfilando la situación personal de la compradora. Deesta manera se produjeron situaciones como la del padre que ignoraba que su hija adolescente estabaesperando un bebé hasta que empezó a recibir en su casa información de todo tipo sobre productospara recién nacidos. Los datos le anunciaron que iba a ser abuelo86.

¿Qué sucedió con la confidencialidad de los datos? Esa esfera de la cual no queremos que sean extraí-dos. Muchas veces los datos que se manejan en los análisis predictivos, no son en sí mismos, datosespecialmente protegidos, pero el resultado de los mismos si puede arrojar información que puedecontener datos de esta categoría, y cuya confidencialidad es fundamental garantizar y proteger paraevitar un perjuicio a su titular.

4.4 Herramientas que ofrece el RGPD para el cumplimiento de los principios del tratamientode datos en entornos de Big DataEn este capítulo analizaremos algunas de las medidas que introduce el RGPD con las que se pretendesolucionar los problemas que genera el Big data para la privacidad y protección de datos.

Debemos aclarar que los recursos ofrecidos por la nueva normativa europea, tienen como objetivo fa-cilitar el tratamiento de datos personales en una sociedad cada vez más tecno-dirigida. De tal manera,que el Reglamento no debe apreciarse como un límite para los responsables y encargados del trata-miento de datos, sino como un documento de apoyo que establece las directrices indispensables paraun desarrollo lícito de dicha actividad87.

A partir de esta posición, los responsables del tratamiento deben buscar las estrategias que les permitanaplicar las medidas que el Reglamento prevé, asegurándose de que esas medidas son las adecuadaspara cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades desupervisión.

A todo lo anterior, el RGPD le ha llamado “Principio de Responsabilidad Proactiva”, el eje vertebradorde toda la normativa europea de protección de datos y que viene regulado en al art. 5.2 y 24 así comoen el considerando 74 del RGPD88.

El artículo 24 RGPD, describe este principio como la necesidad de que el responsable del tratamiento

86 LANE, M. (2012). “¿Cómo se entera una tienda antes que tus padres de que estás embarazada?, CNN, (Disponibleen https://cnnespanol.cnn.com/2012/04/23/como-se-entera-una-tienda-antes-que-tus-padres-de-que-estas-embarazada/, fecha última consulta: 04.12.2018)


88 Artículo 5.2; 24 y Considerando 74 RGPD.


aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tra-tamiento es conforme con el Reglamento. De tal manera, que al hablar de Responsabilidad proactivao accountability nos referimos a dos conductas indispensables: la necesidad de que el responsable deltratamiento adopte medidas adecuadas y eficaces para aplicar los principios de protección de datos; yla necesidad de demostrar, si así se requiere, que se han adoptado medidas adecuadas y eficaces.

Veamos entonces, cuáles son en la práctica estas medidas técnicas y organizativa, que no ofrece elRGPD como herramientas a considerar para el cumplimiento efectivo de los principios del tratamientoa la hora de enfrentarnos a un proyecto de Big data:

4.4.1 Neutralidad tecnológica y Privacidad desde el diseño y por defecto.

El Considerando 15 del RGPD establece que “a fin de evitar que haya un grave riesgo de elusión, laprotección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicasutilizadas”89

Por su parte el Considerando 78 del Reglamento, afirma que “la protección de los derechos y libertadesde las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidastécnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del pre-sente Reglamento”90

La neutralidad tecnológica, comúnmente definida como:

la libertad de los individuos y las organizaciones de elegir la tecnología más apropiada yadecuada a sus necesidades y requerimientos para el desarrollo, adquisición, utilización ocomercialización, sin dependencias de conocimiento implicadas como la información olos datos91, está íntimamente relacionada con el principio de privacidad desde el diseño ypor defecto.

Por su parte, el concepto protección de datos desde el diseño y por defecto, recogido en el artículo 25del RGPD, consiste en incorporar, desde las primeras fases de todo proyecto, medidas técnicas y or-ganizativas apropiadas, teniendo en cuenta factores como el estado de la técnica, el coste de la apli-cación, la naturaleza, ámbito, contexto y fines del tratamiento o los riesgos del tratamiento para losderechos y libertades de los afectados, aquellas medidas permitirán cumplir los requisitos del Regla-mento y proteger los derechos de los interesados, produciéndose una relación integral entre las nuevastecnologías y la protección de datos personales92.

A su vez, la privacidad por defecto implica la adopción de medidas técnicas y organizativas cuya fi-nalidad es garantizar que por defecto sólo se traten aquellos datos que sean necesarios para los finesdel tratamiento93.

4.4.2 Evaluación de Impacto: Privacy Impact AssessmentsUna segunda herramienta que nos proporciona el RGPD para hacer frente a los riesgos que producenlas tecnologías de la información en la protección de datos, como es el caso de un planteamiento detrabajo en entornos de Big Data, está establecida en su artículo 35.1 que reza:

89 Considerando 15 RGPD

90 Considerando 78 RGPD

91 Neutralidad tecnológica. (2018). Wikipedia, La enciclopedia libre. (Disponibleen https://es.wikipedia.org/w/index.php?title=Neutralidad_tecnol%C3%B3gica&oldid=105001172, fecha última con-sulta: 03.12.2018)

92 Agencia Española de Protección de Datos y a la Asociación Española para el Fomento de la Seguridad de la Informa-ción, ISMS Forum Spain, (2016). Código de buenas prácticas en protección de datos en proyectos de Big Data,pág.20.

93 Ídem.


cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías,por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y li-bertades de las personas físicas, el responsable del tratamiento realizará, antes del trata-miento, una evaluación de impacto de las operaciones de tratamiento en la protección dedatos personales. Una única evaluación podrá abordar una serie de operaciones de trata-miento similares que entrañen altos riesgos similares94

En términos simples, podemos definir una EIPD como un análisis de los riesgos que un producto oservicio puede entrañar para la protección de datos de los afectados teniendo en consideración la ca-tegoría de los datos objeto del tratamiento, la finalidad del mismo, la necesidad de su realización y lastecnologías utilizadas. El objetivo principal de ese análisis, es la gestión de dichos riesgos mediantela adopción de las medidas necesarias para eliminarlos o mitigarlos95.

En entornos de Big data, no solo es necesaria una EIPD, sino que es una obligación legal, y es así, nosolo por las tecnologías que se utilizan o las categorías de datos que se tratan, sino porque ese trata-miento de datos personales está destinado a ser una actividad constante y sistemática, o a obtenerciertos resultados que lleven a decisiones directamente aplicables a los individuos titulares de dichosdatos, como por ejemplo, la elaboración de perfiles, o el tratamiento a gran escala de datos especial-mente protegidos, o la observación sistemática a gran escala de una zona de acceso público96.

El contenido esencial de una EIPD viene determinado por el artículo 35.7 del RGPD, lo explicaremosen términos simples, para que sea mejor comprendido97:

Operaciones de tratamiento previstas y de los fines de tratamiento1.

Es básicamente una lista detallada del tratamiento de datos, incluyendo: los datos que usa, los detallesde sus responsables y encargados, la base legal o los períodos de retención aplicados a los datos.

Evaluación de la necesidad y la proporcionalidad2.

Se debe incluir una evaluación de la necesidad y la proporcionalidad de las operaciones de trata-miento con respecto a su finalidad superando el juicio de proporcionalidad.

Evaluación de los riesgos3.

Por ejemplo, dificultad para obtener el consentimiento expreso para datos especialmente protegidos,violaciones de confidencialidad, falta de diligencia por parte del encargado, y la dificultad o imposi-bilidad del ejercicio de los derechos, violaciones de seguridad, etc.

Medidas preventivas4.

Se establecerán las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de segu-ridad y mecanismos que garanticen la protección de datos personales, teniendo en cuenta los derechose intereses legítimos de los interesados y de otras personas afectadas.

El modelo de evaluación del impacto sobre la protección de datos es necesario para brindar a los res-ponsables del tratamiento de datos pautas suficientemente específicas, útiles y claras para el cumpli-miento de los principios del tratamiento de datos98.

4.4.3 Adopción de medidas de seguridad adecuadas

El artículo 32 del RGPD establece que:

teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el con-texto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los dere-

94 Artículo 35.1 RGPD.

95 Agencia Española de Protección de Datos y a la Asociación Española para el Fomento de la Seguridad de la Informa-ción, ISMS Forum Spain, (2016). Código de buenas prácticas en protección de datos en proyectos de Big Data,pág.22.



98 Agencia Española de Protección de Datos y a la Asociación Española para el Fomento de la Seguridad de la Informa-ción, ISMS Forum Spain, (2016). Código de buenas prácticas en protección de datos en proyectos de Big Data,págs..23-24


chos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidastécnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo […]

Algunos ejemplos de medidas de seguridad son: la anonimización y pseudonimización de datos, elestablecimiento de un sistema de control de accesos, la incorporación de un sistema de trazabilidad,el desarrollo de códigos de conducta, mecanismos de certificación, sellos y etiquetas de protección dedatos, etc.99

4.4.4 Designar un delegado de protección de datos

Esta figura resulta esencial en entornos de Big data, puesto que el texto legal insiste en su obligato-riedad para todas las autoridades y organismos públicos, así como para empresas que realicen una ob-servación habitual y sistemática de las personas a gran escala o que tengan entre sus actividadesprincipales el tratamiento de datos sensibles100. El DPO debe desempeñar sus funciones teniendo encuenta la naturaleza, el alcance, el contexto y fines del tratamiento. Además, según especifica el ar-tículo 39 del RGPD, esta figura tiene entre sus funciones informar y asesorar al responsable o al en-cargado del tratamiento y a los empleados que se ocupen de la gestión de las obligaciones que lesincumben en virtud del reglamento; supervisar el cumplimiento de lo dispuesto en el RGPD, incluidala asignación de responsabilidades, la concienciación y formación del personal que participa en lasoperaciones de tratamiento101. Por otro lado, el RGPD insiste en la importancia de que el DPO cooperesiempre con la autoridad de control y actúe como punto de contacto del regulador para cuestiones re-lativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas,en su caso, sobre cualquier otro asunto. El delegado de protección de datos debe ser nombrado aten-diendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y lapráctica de la protección de datos102.

En definitiva, es sabido que el fenómeno del Big Data supone la gestión y tratamiento de ingentescantidades de datos personales que pueden brindar grandes ventajas y beneficios a las organizacionespúblicas y privadas y a la sociedad en general. Pero, no es menos cierto que también puede conllevaraltos riesgos en materia de privacidad. Por ello, es importante que cada entidad tenga una postura de-finida y ordenada en cuanto a los procedimientos y estrategias a seguir destinadas al cumplimiento delos principios del tratamiento en este entorno tecnológico.

4.4.5 Llevar un Registro de Actividades de Tratamiento

Una de las obligaciones principales del nuevo RGPD es la de crear un registro de actividades de tra-tamiento. Dicho registro sustituye a la obligación anterior de inscribir los ficheros, y aparece reguladaen el artículo 30 del Reglamento General de Protección de Datos. Cada responsable debe llevar un re-gistro de actividades de tratamiento en el que se contenga la siguiente información103:

- Nombre y datos de contacto del responsable.

- Fines del tratamiento

- Descripción de los interesados (clientes, proveedores, etc.)

- Categorías de datos (datos identificativos, datos fiscales, datos sensibles, etc.)

- Categorías de destinatarios a quienes se comunicarán los datos

- Transferencias internacionales previstas

99 Ibídem, pág.30






- Medidas técnicas y organizativas de seguridad

- Plazos de supresión para las diferentes categorías de datos

Este Registro de actividades de tratamiento es un documento interno de cada responsable que debeestar a disposición de la AEPD en caso de que haya una inspección. Es un documento que debe sermodificado cuando existan cambios, como puede ser ampliar a otras categorías de datos nuestro tra-tamiento.

Se exige que conste por escrito, inclusive en formato electrónico104. Y se establece que esta obligaciónno se aplicará a ninguna empresa que emplee a menos de 250 personas, a menos que el tratamientoque se realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea oca-sional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, odatos personales relativos a condenas e infracciones penales a que se refiere el artículo 10105.

4.4.6 Mantener relaciones con la autoridad de control

Las autoridades de control nacional, en el caso de España, la Agencia Española de Protección de Datos,se erigen como el ente fundamental en la fiscalización y garantía del cumplimiento de los principiosy derechos establecidos por el Reglamento europeo en relación con el tratamiento de datos personalesy los titulares de estos últimos106.

Por este motivo, cuando un responsable de tratamiento pretende realizar un análisis masivo de datos,éste debe contemplar en caso necesario la interrelación con la correspondiente autoridad de controlen todas las etapas del proyecto que se proponga.

De esta manera, deberá considerar los siguientes aspectos:

Consulta previa a la autoridad de control en base a los resultados de la Evaluación de•Impacto en la Protección de Datos que se realice107.

El responsable del tratamiento además de planificar y adoptar las medidas técnicas u•organizativas con miras a garantizar la seguridad del tratamiento, en el marco de laconsulta previa a la que alude el apartado anterior, debería informar la autoridad decontrol sobre las concretas medidas y garantías que estime adoptar en proyectos BigData, debiendo la autoridad de control instruir y asesorar al responsable en caso deque considere que éste no ha identificado o mitigado suficientemente el riesgo con lasmedidas que haya proyectado108.

Notificación por el responsable de tratamiento de una posible violación de la seguridad•de los datos personales. En caso de violación de la seguridad de los datos personales,el responsable del tratamiento notificará dicha brecha de seguridad a la autoridad decontrol en un plazo no superior a 72 horas, después de que haya tenido constancia deella, a menos que sea improbable que la violación suponga un riesgo para los derechosy libertades de los afectados109.

Especial importancia tiene el deber de colaborar con la autoridad de control en el co-•rrecto ejercicio de sus competencias, operando este deber como una garantía generalen favor de la protección de la privacidad de las personas físicas en proyectos de Bigdata110.



106 Articulo 47 Ley Orgánica 3/2018.

107 Artículo 35 RGPD


109 Artículo 33 RGPD

110 Agencia Española de Protección de Datos y a la Asociación Española para el Fomento de la Seguridad de la Infor-mación, ISMS Forum Spain, (2016). Código de buenas prácticas en protección de datos en proyectos de Big Data,


4.5 Protocolo de actuación para cumplimiento normativo en entornos de Big Data111.

Es último apartado tiene como objeto transmitir una serie de buenas prácticas, directrices y recomen-daciones extraídas de múltiples informes y dictámenes de las autoridades competentes en protecciónde datos, teniendo en consideración dos principios fundamentales a la hora de desarrollar proyectosde Big Data, “la accountability y privacy by design”112.

Identificar los tipos de datos que se van a tratar, en especial si se trata de datos especialmente1.protegidos; identificar a los responsables y encargados del tratamiento y documentar la baselegal del mismo.

Seleccionar a los encargados del tratamiento en su caso, de entre los más adecuados, estable-2.ciendo una relación contractual con aquel que ofrezca garantías suficientes para aplicar lasmedidas técnicas y organizativas apropiadas.

Realizar una Evaluación de Impacto cuando corresponda113.3.

Designar un Delegado de Protección de datos4.

Tener en cuenta el principio de responsabilidad proactiva: documentar las actividades de tra-5.tamiento, con el fin de ser capaz, en un momento determinado, de demostrar el cumplimientode las medidas adecuadas y eficaces destinadas al cumplimiento de los principios de la pro-tección de datos. Llevar registros de actividades de tratamiento.

Adhesión voluntaria a un Código de Conducta y Certificaciones.6.

En cuanto al Deber de Informar:7.

Proporcionar la información al interesado antes de que proceda a la recogida de susa.datos personales.

Proporcionar información complementaria relevante: a modo de ejemplo, informarb.si se utilizarán servicio en la nube; como se llevará a cabo la recogida de datos, siserá directamente por una aplicación a través de interfaz propia o por otros conec-tores; mecanismos de seguridad etc.

La información debe ser legible, accesible, entendible, adecuada y adaptada. Es con-c.veniente tener en consideración el artículo 12.7 del RGPD, referido a los iconos einfografías que referencien de forma sencilla y rápida el cumplimiento normativo.

En cuanto al consentimiento:8.

El consentimiento debe ser libre, e informado y obtenerse específicamente para losa.fines previstos antes de que el usuario introduzca sus primeros datos personales.

Incluir un mecanismo de acción positiva para que el usuario manifieste inequívocab.y explícitamente su consentimiento. El silencio, las casillas premarcadas o la inac-ción no constituyen consentimiento. Debe implementarse un sistema opt-in, dondeel usuario, otorgue su consentimiento haciendo clic en un botón o marcando uncheckbox no premarcado114.

págs.35-36.

111 AEPD, (2018), Listado de cumplimiento normativo, (Disponible en https://www.aepd.es/media/guias/guia-lis-tado-de-cumplimiento-del-rgpd.pdf, fecha última consulta:06.12.2018)

112 AEPD, (2017). Guía del Reglamento General de Protección de Datos para responsables del tratamiento. (Disponibleen https://www.aepd.es/media/guias/guia-rgpd-para-responsables-de-tratamiento.pdf, fecha última con-sulta:02.12.2018)

113 AEPD, (2018) Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD, (Dis-ponible en https://www.aepd.es/media/guias/guia-evaluaciones-de-impacto-rgpd.pdf, fecha última con-sulta:05.12.2018)

114 AEPD, Infome 00110/2014, El consentimiento para el uso de cookies. (Disponible en https://www.aepd.es/infor-


Consentimiento de menores de edad: Realizar los esfuerzos necesarios y posiblesc.para verificar si el consentimiento ha sido otorgado por el titular de la patria potestado de la tutela del menor.

El usuario debe tener derecho a retirar su consentimiento en cualquier momento.d.

Minimizar la recopilación de los datos: recoger los datos únicamente adecuados y pertinentes9.para la finalidad del tratamiento. Establecer controles y sistemas de ayuda en los formulariosde entrada de datos para evitar que se introduzcan datos erróneos. Establecer controles paraevitar la duplicidad de datos, de manera que los datos puedan ser introducidos una única vez.

Realizar análisis de riesgo y seguridad e identificación de las vulnerabilidades que pueda pre-10.sentar, durante todo el ciclo de vida de los datos. Invertir en sistemas de cifrado de datos115.

Implementar en un sistema robusto de autenticación basado en contraseñas de los usuarios y11.claves de validación.

Implementar medidas de anonimización y seudonimización como medidas de seguridad en12.los tratamientos ulteriores.

Notificar a la autoridad competente y a los usuarios cuando corresponda, las violaciones a la13.seguridad de los datos personales.

Implementar opciones que faciliten el ejercicio de los derechos de los titulares.14.

Implementar opciones automatizadas que permitan al usuario tener conocimiento del trata-15.miento llevado a cabo sobre sus datos personales.

Usar formatos estándares para garantizar el derecho a la portabilidad de datos. 16.

Educar a los usuarios sobre la importancia y valor de sus datos personales y su adecuada pro-17.tección.

5. CONCLUSIONES

En el mundo de la sociedad del conocimiento y las nuevas tecnologías, los seres humanos estamosobligados a introducirnos en el estudio de los cambios sociales, culturales y económicos que involucranlos fenómenos como el Big Data. Por una parte, los ciudadanos debemos aprovechar toda la informa-ción que nos permite la Internet y educarnos lo más que podamos respecto del gobierno de las TIC ycómo afectan nuestro diario vivir, de modo tal, que por la sola razón de ignorar los nuevos fenómenoslegales nacidos como consecuencia del uso nuevas tecnologías evitemos ser víctimas y victimariosde vulneración de los derechos fundamentales como la intimidad, el honor, la propia imagen y la pro-tección de los datos personales.

Por otra parte, el Gobierno, con urgencia debe plantearse como meta la concientización de las con-secuencias prácticas que traen las tecnologías disruptivas para nuestros derechos y la forma como laley los garantiza y protege, poniendo en manos de los ciudadanos las herramientas suficientes paracomprender el contenido de sus derechos y defenderse en caso de vulneraciones. Se hace imprescin-dible educar, no solo entregando información en las redes sociales o páginas webs, sino directamente,a través de programas de formación gratuitos, donde dinámicamente el ciudadano pueda tomar realconocimiento de los cambios tecnológicos logrando dimensionar las consecuencias fácticas y legalesde los mismos. Jamás podremos ir de la mano con las TIC, siempre nos ganarán distancia, pero debe-

mes/historicos/2014-0011.pdf, fecha última consulta: 05.12.2018)

115 AEPD, (2018), Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD. (Dispo-nible en https://www.aepd.es/media/guias/guia-analisis-de-riesgos-rgpd.pdf, fecha última consulta: 03.12.2018)


mos propender a formar profesionales y ciudadanos informados, con las habilidades suficientes paraenfrentarlas en todos los ámbitos, por eso también se hace indispensable integrar en los programas deformación académica desde los inicios de la educación, primaria, secundaria, universitaria y en todaslas disciplinas, tanto científicas, tecnológicas y humanistas, los conocimientos necesarios para el de-sarrollo personal y social en un ambiente de respeto y confianza.

Una tercera cuestión, que es necesaria a la hora de abordar un proyecto en entornos de Big Data, esque las organizaciones tanto privadas como públicas formen un equipo multidisciplinar estando obli-gadas a contar con un experto en derecho de las nuevas tecnologías dentro de ese equipo. Si ponemosatención, no hablamos de un abogado especialista en protección de datos, si no de un profesional aúnmás completo, ¿por qué un experto jurídico en nuevas tecnologías?. Creemos que no es suficiente lasola facultad de disponer de un delegado de protección de datos configurado como expresa el RGPD,sino que debe ser una obligación legal contar con un personaje de perfil eminentemente jurídico es-pecializado, dicho perfil debe permitir al profesional interpretar y desdeñar los distintos problemasprácticos que se puedan presentar en la empresa, distinguiendo la normativa aplicable y las distintasmaterias en conflicto en una misma situación jurídica. Esto significa en términos prácticos, que lasdiferentes técnicas de análisis masivo de datos personales que nos permite utilizar el Big Data, nosolo involucran el derecho fundamental a la protección de datos, sino también, pueden verse afectadasnormas de distintas características, por ejemplo, normas de propiedad intelectual, libre competencia,derecho de los contratos, etc. Por esta razón es indispensable que el profesional que desempeñe lalabor de asesoramiento pertenezca desde su formación profesional al derecho y posea un conocimientoglobal en el área de las nuevas tecnologías y de su impacto en el derecho, con el fin de que la organi-zación cuente con un especialista de apoyo para las distintas áreas y grupos de trabajo que la componen,y que a su vez, sea capaz en un momento determinado, de prever el conflicto legal que el RGPD pre-tende evitar o asumir la defensa de la institución ante los tribunales de justicia en caso de reclamación,porque en la esencia cuando hablamos de Big Data y en particular el objeto de análisis son datos per-sonales, nos estamos refiriendo a un derecho fundamental, garantizado constitucionalmente por de-cantación jurisprudencial, que ha nuestro parecer un ingeniero o informático difícilmente podráresguardar y defender.

6. BIBLIOGRAFÍA

AEPD, (2017). Guía del Reglamento General de Protección de Datos para responsables del tratamiento.•(Disponible en https://www.aepd.es/media/guias/guia-rgpd-para-responsables-de-tratamiento.pdf, fecha úl-tima consulta:02.12.2018)

AEPD, (2018), Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD.•(Disponible en https://www.aepd.es/media/guias/guia-analisis-de-riesgos-rgpd.pdf, fecha última consulta:03.12.2018)

AEPD, (2018) Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD,•(Disponible en https://www.aepd.es/media/guias/guia-evaluaciones-de-impacto-rgpd.pdf, fecha última con-sulta:05.12.2018)

AEPD, Informe 00110/2014, El consentimiento para el uso de cookies. (Disponible en•https://www.aepd.es/informes/historicos/2014-0011.pdf, fecha última consulta: 05.12.2018)

AEPD, (2018), Listado de cumplimiento normativo, (Disponible en https://www.aepd.es/media/guias/guia-•listado-de-cumplimiento-del-rgpd.pdf, fecha última consulta:06.12.2018)

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Y A LA ASOCIACIÓN ESPAÑOLA PARA EL•FOMENTO DE LA SEGURIDAD DE LA INFORMACIÓN, ISMS Forum Spain, (2016). Código de bue-nas prácticas en protección de datos en proyectos de Big Data (Disponible en


https://www.aepd.es/media/guias/guia-codigo-de-buenas-practicas-proyectos-de-big-data.pdf, fecha últimaconsulta: 11.10.2018)

ALONSO, B. (2018). “Implicaciones éticas en el uso de los datos personales”, BBVA, Data & Analitycs,•(Disponible en https://www.bbvadata.com/es/ethical-implications-of-personal-data-usage-from-corpora-tions/, fecha última consulta 06.12.2018)

BERNAL JIMENEZ, J. - VALENCIA SERRANO, F. (2018). Big Data: La puesta en crisis de la protección•de datos personales (Tesis de Grado). Pontificia Universidad Javeriana de Cali, Colombia, pág.63 (Dispo-nible en http://vitela.javerianacali.edu.co/bitstream/handle/11522/11027/Big_data.pdf?sequence=1&isA-llowed=y, fecha última consulta: 04.01.2019)

CONDE ORTIZ, C. (2005). La protección de datos personales. Un derecho autónomo con base en los con-•ceptos de intimidad y privacidad, 1ª edición, Madrid, Dykinson, pág.13.

COX, M. - ELLSWORTH, D. (1997), “Application-Controlled Demand Paging for Out-Of-Core Visuali-•zation”. Report NAS-97-010. (Disponible en https://www.nas.nasa.gov/assets/pdf/techreports/1997/nas-97-010.pdf, fecha última consulta 03.12.2018)

CRISTEA UIVARU, L. (2017). La protección de datos de carácter sensible en el ámbito europeo. Historia•clínica digital y Big Data en salud, (Tesis doctoral), Universitat Abat Oliba CEU, España, pág.240. (Dis-ponible en https://www.tdx.cat/bitstream/handle/10803/442972/Tlcu.pdf?sequence=1&isAllowed=y, fechaúltima consulta: 08.10.2018)

DEAN, J. - GHEMAWAT, S. (2004). “MarpReduce: Simplified Data Processing on Large Clusters. Google•Inc. Págs.3-11 (Disponible en https://static.googleusercontent.com/media/research.google.com/es//ar-chive/mapreduce-osdi04.pdf, fecha última consulta: 03.12.2018)

DRUCKER, P. (1992), “La Sociedad Postcapitalista”. Publicación de Butterworth Heinneman LTDA.Ox-•ford.

GARRIGA DOMINGUEZ, A. (2016). Nuevos retos para la protección de datos personales: en la era del•Big Data y de la computación ubicua, Madrid, Dykinson, págs.94-101.

GERHARDT, D. - GRIFFIN, K. - KLEMANN, R. (2012), “Descubrir el valor en el fragmentado mundo•del análisis de los Big Data. Cómo los infomediarios de la información crearán un nuevo ecosistema dedatos”. Grupo De Soluciones Empresariales para Internet (IBSG) de Cisco, pág. 2 (Disponible enhttps://www.cisco.com/c/dam/global/es_es/assets/executives/pdf/Unlocking_Value_in_Big_Data_Analy-tics.pdf; fecha de última consulta: 10.02.2019).

GIL GONZÁLEZ, E. (2016). Big Data, Privacidad y Protección de Datos. Agencia Española de Protección•de Datos, Imprenta Nacional de la Agencia Estatal, Madrid, ISBN 978-84-340-2309-3. (Disponible enhttps://www.aepd.es/media/premios/big-data.pdf, fecha última consulta: 04.01.2019)

GIL GONZÁLEZ, E. (2017). “Big Data: consentir o no consentir, ésa es la cuestión”, ECIJA, (Disponible•en https://ecija.com/big-data-consentir-no-consentir-esa-la-cuestion/, fecha última consulta: 25.12.208)

GONZÁLEZ PEDRAZ, J. (2014). “Desafíos que para la privacidad y la protección de datos implica el Big•Data”. VII Jornada de la red de bibliotecas, Big Data y Bibliotecas: convertir datos en conocimiento. (Dis-ponible en https://www.cervantes.es/imagenes/File/biblioteca/jornadas/jornada_7/judith_gonzalez_presen-tacion_7_jornada_rbic.pdf, fecha última consulta: 5.11.2018)

GUEVARA SAN MATEO, M. (2017). El impacto del Big Data en la protección de datos personales. Aná-•lisis de los avances normativos en materia de protección de datos,(Tesis de grado), Universidad Jaime I,España. (Disponible en http://repositori.uji.es/xmlui/bitstream/handle/10234/175806/TFG_2018_Gue-vara%20Sanmateo_Mar.pdf?sequence=1&isAllowed=y, fecha última consulta:2.12.2018)

GRUPO DE TRABAJO DEL ARTÍCULO 29, Dictamen 4/2007, de 20 de junio, sobre el concepto de datos•personales. W136. Págs. 6-24. (Disponible en https://docplayer.es/54190926-Dictamen-4-2007-sobre-el-concepto-de-datos-personales.html, fecha última consulta: 03.12.2018)

GRUPO DE TRABAJO DEL ARTÍCULO 29, (2017). Directrices sobre el consentimiento en el sentido•del Reglamento (UE)2016/679. WP259. (Disponible en http://www.avpd.euskadi.eus/contenidos/informa-


cion/20161118/es_def/adjuntos/wp259rev01__es20180709.pdf, fecha última consulta: 12.12.2018)

INSTITUTO DE INGENIERÍA DEL CONOCIMIENTO, (2016), “7 Herramientas Big Data para tu em-•presa”. (Disponible en http://www.iic.uam.es/innovacion/herramientas-big-data-para-empresa/, fecha últimaconsulta: 16.02.2019)

JEWELL, D.-BARROS, R.- DIEDERICHS, S.- DUIJVESTIJN, L.- HAMMERSLEY, M. -HAZRA, A. -•HOLBAN, C. - LI, Y. - OSAIGBOVO, O. - PLACH, A. PORTILLA, I. -SAPTARSHI, M. -SEERA, H. -STAHL, E. - ZOLOTOW, C. (2014), “Performance and Capacity Implications for Big Data”. IBM RedpaperPublication 50-70, pág.20. (Disponible en http://www.redbooks.ibm.com/redpapers/pdfs/redp5070.pdf,fecha última consulta: 15.02.2019)

LANE, M. (2012). “¿Cómo se entera una tienda antes que tus padres de que estás embarazada?, CNN, (Dis-•ponible en https://cnnespanol.cnn.com/2012/04/23/como-se-entera-una-tienda-antes-que-tus-padres-de-que-estas-embarazada/, fecha última consulta: 04.12.2018)

MALVICINO, F.- YOGUEL, G. (2015), “Big Data: Avances recientes a nivel internacional y perspectivas•para el desarrollo local”, Centro Interdisciplinario de Estudios en Ciencia, Tecnología e Innovación(CIECTI), Ciudad Autónoma de Buenos Aires, págs. 17-21 (Disponible enhttp://www.mincyt.gob.ar/_post/descargar.php?idAdjuntoArchivo=41331, fecha última consulta16.02.2019)

Neutralidad tecnológica. (2018). Wikipedia, La enciclopedia libre. (Disponible•en https://es.wikipedia.org/w/index.php?title=Neutralidad_tecnol%C3%B3gica&oldid=105001172, fechaúltima consulta: 03.12.2018)

OLOFSON, C. - VESSET, D. (2012, WHITE PAPER. “Big Data; Trends, Strategies, and SAP Technology”.•IDC., pág.4 (Disponible enhttps://www.itweekly.nl/iec/sap/BigDataTrendsStrategiesandSAPTechnology.pdf, fecha última consulta:15.02.2019)

PARDO LÓPEZ, M. (2007). “Intimidad personal, protección de datos sanitarios e intromisiones legítimas:•una proyección hipotética de la doctrina Tarasoff sobre el ordenamiento jurídico español”. Anales de dere-cho. Universidad de Murcia. Número 25. Págs. 181 – 214

REVUELTA BAYOD, MªJ. (2018), “Big Data: Crisis y nuevos planteamientos en los flujos de comunica-•ción de la cuarta revolución industrial”, Revista de Comunicación Audiovisual y Publicitaria, ISSN 1578-8393, Ediciones Complutense, págs. 312-313 (Disponible enfile:///C:/Users/Alumno/Downloads/59521-4564456552269-2-PB.pdf, fecha última consulta: 16.02.2019)

SALINAS, R. (2007). “La confidencialidad de la consulta psiquiátrica y el deber de protección a terceros:•el caso Tarasoff”, Revista chilena de neuro-psiquiatría, volumen 45 (núm.1). (Disponible enhttps://scielo.conicyt.cl/pdf/rchnp/v45n1/art11.pdf, fecha última consulta:25.01.2019)

SOTO GALINDO, J. (2016). “Malte Spitz: tenemos derecho a decidir sobre nuestra privacidad”. (Dispo-•nible en https://www.eleconomista.com.mx/opinion/Malte-Spitz-tenemos-derecho-a-decidir-sobre-nuestra-privacidad-20160703-0002.html, fecha última consulta: 03.12.2018)

TED, (2012, julio 24). Malte Spitz: tu compañía telefónica está mirando. (Recuperado de https://www.you-•tube.com/watch?v=Gv7Y0W0xmYQ, fecha última consulta 29.12.2018)

UNIVISION (2018). Facebook reconoce que fueron 87 millones (y no 50 millones) los usuarios afectados•por la filtración de datos a Cambridge Analytica. (Disponible en https://www.univision.com/noticias/poli-tica/facebook-dice-que-fueron-87-millones-de-usuarios-los-afectados-por-la-filtracion-de-datos, fecha úl-tima consulta: 10.11.2018).


ABREVIATURAS Y SIGLAS

AEPD Agencia Española de Protección de Datos

Art. Artículo

CE Constitución Española

DPA Data Protection Act

DPO Data Protection Officer

EDPS European Data Protection Supervisor

RGPD Reglamento General de protección de datos 2016/679, de 27 de abril

GT 29 Grupo de Trabajo del Artículo 29

LOPD Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal

NLOPD Nueva Ley Orgánica de protección de datos 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

LSSI Ley de Servicios de la Sociedad de la Información

RLOPD Reglamento de desarrollo de la Ley Orgánica de Protección de Datos RD1720/2007

STC Sentencia del Tribunal Constitucional

SSTC Sentencias del Tribunal Constitucional

STJUE Sentencia del Tribunal de Justicia de la Unión Europea

TC Tribunal Constitucional

TIC Tecnologías de la Información y la Comunicación

TJUE Tribunal de Justicia de la Unión Europea

TS Tribunal Supremo

UE Unión Europea


10. FUENTES JURÍDICAS

REFERENCIAS NORMATIVAS

Constitución de la República Portuguesa, de 2 de abril de 1976.

Art. 17

Constitución de los Estados Unidos, de 17 de septiembre de 1787

IX Enmienda

Carta de Derechos Fundamentales de la Unión Europea de 01 de diciembre de 2009 (BOE núm. 184,31.07.2008)

Art. 1

Constitución Española, de 6 de diciembre de 1978 (BOE núm.311 de 29 de diciembre de 1978)

Art. 10.1

Art. 18.4

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo ala protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la librecirculación de estos datos y por el que se deroga la Directiva 95/46/CE. (DUOE 4.5.2016)

Considerando 10

Considerando 13

Considerando 15

Considerando 32

Considerando 39

Considerando 49

Considerando 60

Considerando 78

Art. 3

Art. 4

Art. 4.2

Art. 4.7

Art. 4.8

Art. 5

Art. 5.1.c.d. e y f

Art. 5.2. a

Art. 6

Art. 6.4

Art. 12

Art. 13


Art. 14

Art. 16

Art. 22

Art. 28

Art. 30

Art. 30.3

Art. 30.5

Art. 32

Art. 33

Art. 35.1

Art. 35.2

Art. 35.3

Art. 35.7

Art. 36

Art. 37

Art. 57.1

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechosdigitales (BOE núm.294 de 6 de diciembre de 2018).

Art. 4

Art. 14

Art. 15

Art. 17

Art. 47

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (BOEnúm.298 de 14 de diciembre de 1999).

Art. 4

Art. 4.2

Art. 4.3

Art. 4.7

REFERENCIAS JURISPRUDENCIALES

1993 - STC 254/1993, de 20 de julio, fundamento jurídico 6°, (BOE núm.197, de 18 de agosto de1993).

2000 - STC 290/2000, de 30 de noviembre, fundamentos jurídicos 14 a 19, (BOE núm.4 de 4 de enerode 2001).

STC 292/2000, de 30 de noviembre, fundamentos jurídicos 14 a 18, (BOE núm.4 de 4 de enero de2001).





ISSN 2530-4496 – AÑO 1, N° 6, 2019, PÁGS. 49-74

NUEVOS HORIZONTES PARA EL DERECHO DE PROTECCIÓN DE DATOS PERSONALES, AL AMPARO DEL NUEVO REGLAMENTO GENERAL DE

PROTECCIÓN DE DATOS Y DE LA DIRECTIVA RELATIVA AL TRATAMIENTO DE DATOS PERSONALES EN EL ÁMBITO PENAL.

NEW HORIZONS FOR THE RIGHT RIGHT OF PROTECTION OF PERSONAL DATA. THE PROCESSING OF PERSONAL DATA, BASED ON NEW GENERAL DATA

PROTECTION REGULATION AND THE DIRECTIVE RELATING TO THE PROCESSING OF PERSONAL DATA IN THE CRIMINAL FIELD.

María Elena Laro González1

1 Licenciada en Derecho por la Universidad de Sevilla. Máster Superior en Abogacía por la Universidad Pablo de Ola-vide.

RESUMEN1

Las nuevas tecnologías hacen necesario que se refuercen los derechos de los interesados, en aras apreservar el derecho fundamental a la protección de datos personales. En este contexto, la Unión Eu-ropea ha promulgado el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protecciónde las personas físicas en lo que respecta a sus datos personales y la libre circulación de esos datos.En el ámbito de la cooperación judicial penal, se ha promulgado la Directiva (UE) 2016/680, de 27de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento dedatos personales por parte de las autoridades competentes para fines de prevención, investigación, de-tección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre cir-culación de dichos datos.

PALABRAS CLAVE

Derecho de protección de datos; tecnología; intercambio de datos; Unión Europea; cooperación judicialpenal.

ABSTRACT

The new technologies make it necessary to strengthen the rights of the interested, to preserve the fun-damental right to the protection of personal data. In this context, the European Union has promulgatedRegulation (UE) 2016/679, from 27 April of 2016, on the protection of natural persons with regard tothe processing of personal data and on the free movement of such data. In the context of criminal ju-dicial cooperation, has promulgated the Directive (UE) 2016/680, from 27 April of 2016, relative onthe protection of natural persons with regard to the processing of personal data by competent authoritiesfor the purposes of the prevention

investigation, detection or prosecution of criminal offences or the execution of criminal penalties, andon the free movement of such data.

KEYWORDS

Right of protection of personal data; technology; data exchange; European Union; judicial criminalcooperation;

INTRODUCCIÓN

En el actual contexto criminal resulta evidente que las nuevas formas de delincuencia organizada hanpropiciado nuevos paradigmas en la prevención y persecución de delitos. La libre circulación de per-sonas2, en el territorio de la Unión Europea (en adelante, UE), ha contribuido a que los delincuentesno tengan fronteras para la perpetración de delitos, buscando, éstos, los refugios legislativos que lelleven a conseguir la impunidad. En este orden de cosas, se hace necesario reforzar la cooperaciónpolicial y judicial penal, donde la orientación vaya encaminada hacia la seguridad de los Estadosmiembros como forma combativa de la delincuencia organizada.

NUEVOS HORIZONTES PARA EL DERECHO DE PROTECCIÓN DE DATOS PERSONALES, AL AMPARO DEL NUEVO REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Y DE LA DIRECTIVA RELATIVA AL TRATAMIENTO DE DATOS PERSONALES EN EL ÁMBITO PENAL

Esta contribución ha sido realizada en el marco de una estancia de investigación en el Instituto de Estudios Europeos1.de la Universidad de Valladolid, en el curso académico 2018-2019. El presente trabajo ha sido realizado en el marcodel proyecto I+D+I “Instrumentos de reconocimiento mutuo y ejecución de resoluciones penales. Incorporación alDerecho español de los avances en cooperación judicial en la Unión Europea” (MINECO, ref. DER 2015-63942-P).

La libre circulación tuvo su origen en el Tratado de Maastricht de 1992, pero tuvo su aplicación práctica con el Acuerdo2.de Schengen en 1995. Puede consultarse en: http://www.europarl.europa.eu/news/es/headlines/security/20180216STO98008/schengen-ampliacion-del-espacio-europeo-sin-fronteras-interiores

Las dificultades existentes para la persecución delictiva, y consiguiente incriminación del delincuente,se ven acrecentadas por la proliferación de los más modernos medios tecnológicos, potenciando nuevasformas de comisión de hechos delictivos a través de estos instrumentos tecnológicos, dotando de armasa los potenciales delincuentes y ampliando su campo de actuación, sin necesidad de desplazamientofísico para la realización de los mismos3. En este sentido, el Convenio de Budapest4 señala la preocu-pación existente por que las redes informáticas y la información electrónica sean utilizadas por lospotenciales delincuentes para la consecución de sus fines criminales.

Además, la tecnología ejerce un papel crucial en el intercambio de datos personales, traspasando, enalgunas ocasiones, la esfera más íntima de la persona. Actualmente, existe una comercialización delos datos personales de los usuarios de internet, donde los entes comerciales trafican con esos datos yobtienen un beneficio como consecuencia de esa transmisión. Esta forma de operar, adquiere mayorrelevancia cuando la comercialización se hace entre varias empresas con sede en diferentes países dela UE.

Ante la nueva realidad impuesta por las TICs, se hace necesario un control eficiente que salvaguardenlos derechos e intereses fundamentales de los ciudadanos, así como la regulación de la transferenciade los datos personales que pueda favorecer la investigación y prevención delictiva por parte de lasautoridades policiales y judiciales. Estamos, pues, ante el complejo binomio seguridad –desde elprisma de la prevención y persecución delictiva– y protección de los derechos fundamentales deinvestigados y/o acusados –derecho de protección a los datos personales–.

Con anterioridad a la entrada en vigor del Tratado de Lisboa, la normativa relativa a la protección dedatos personales se encontraba fragmentada en en el primer pilar5, referente a la protección de datoscon fines privados y comerciales, y en el tercer pilar, referente a la protección de datos con fines deaplicación de la ley. Con la entrada en vigor del Tratado de Lisboa desapareció la estructura de los pi-lares, desarrollándose un sistema de protección de datos más compacto y eficaz.

En efecto, el derecho a la protección de datos de carácter personal de las personas físicas se encuentrarecogido en la Carta de los Derechos Fundamentales de la UE (en adelante, CDFUE), en sus arts. 7 y8, apdo.1, así como en el Tratado de Funcionamiento de la UE (en adelante, TFUE), en su art. 16,apdo.1. En el ordenamiento jurídico español se encuentra recogido en el art. 18 de la Constitución Es-pañola (en adelante, CE).

En el seno del Programa de la Haya de 2005 a 20106, la Comisión presentó una comu-nicación7 donde se establecían diez prioridades, en el plazo de 5 años, en el Espacio

Europeo de libertad, seguridad y justicia (en adelante, ELSJ). Se pone de manifiesto la especial aten-ción que hay que prestar a la protección de los datos personales, considerándose como un derechocon entidad propia, diferente al derecho a la intimidad. Concretamente en el apdo. 7 se hace referencia

María Elena Laro González

En España, en el año 2017, se cometieron 81.307 ciberdelitos. En el año 2018, las Comunidades Autónomas con3.mayor índice de comisión de ciberdelitos fueron Andalucía, con una cifra que oscila los 15.458, Madrid, con 12.169,y Valencia, con 10.842. Información disponible en www.oedi.es

Convenio nº 185, del Consejo de Europa, de 23 de noviembre de 2001, sobre Ciberdelincuencia. España lo ha ratificado4.(BOE 17 de septiembre de 2010).

Los tres pilares lo conformaban: el pilar comunitario; el referido a la política exterior y de seguridad común; y el de5.cooperación policial y judicial en materia penal.

En materia penal, hay que destacar que el intercambio de datos personales ya se contempló en el Programa de Tampere6.(octubre 1999).

Comunicación de la Comisión al Consejo y al Parlamento Europeo, Programa de La Haya: Diez prioridades para los7.próximos cinco años. Una asociación para la renovación europea en el ámbito de la libertad, la seguridad y la justicia,COM 2005 184 final, 10 de mayo de 2005.

al complejo binomio “derecho a la intimidad y seguridad en el intercambio de información”, siendotarea de las autoridades policiales y judiciales lograr el equilibrio adecuado entre el derecho a la inti-midad y la seguridad.

Posteriormente, el Consejo Europeo adoptó el Programa plurianual en el ámbito del ELSJ para el pe-ríodo 2010-2014 (Programa de Estocolmo)8. En las conclusiones del Consejo9 se definieron las orien-taciones estratégicas de la programación legislativa y operativa para los años siguientes en el ELSJ,contemplándose como objetivo, en la prevención y lucha contra la delincuencia y el terrorismo, laprotección de los datos personales.

La regulación legislativa, hasta hace poco, se encontraba recogida en la Directiva 95/46/CE, del Par-lamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas fí-sicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos10 (enadelante, Directiva 95/46/CE); Reglamento (CE) n° 45/2001 del Parlamento Europeo y del Consejo,de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respectaal tratamiento de datos personales por las

instituciones y los organismos comunitarios y a la libre circulación de estos datos11 (enadelante, Reglamento (CE) nº 45/2001); la Directiva 2002/58/CE del Parlamento Europeo y delConsejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la

protección de la intimidad en el sector de las comunicaciones electrónicas12 (en adelante,Directiva 2002/58/CE); la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 demarzo de 2006 , sobre la conservación de datos generados o tratados en relación con la prestación deservicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones ypor la que se modifica la Directiva 2002/58/CE13 (en adelante, Directiva 2002/24/CE); la DecisiónMarco 2008/977/JAI sobre protección de datos personales tratados en el contexto de la cooperaciónpolicial y judicial en materia penal14 (en adelante, DM 2008/977/JAI).

Actualmente, como consecuencia de las deficiencias existentes y de los cambios impuestos por lasnuevas tecnologías, se ha promulgado la Directiva (UE) 2016/680, de 27 de abril de 2016, del Parla-mento Europeo y del Consejo, sobre protección de las personas físicas en lo que respecta al tratamientode datos personales por parte de las autoridades competentes para fines de prevención, investigación,detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y sobre lalibre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo(en adelante, Directiva 2016/680/UE)15; y el Reglamento (UE) 2016/679 del Parlamento Europeo ydel Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respectaal tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Di-rectiva 95/46/ CE16 (en adelante, RGPD).


Programa de Estocolmo “Una Europa abierta y segura que sirva y proteja al ciudadano", DO C 115 de 4 de mayo de8.2010. Este Programa trae su origen en la comunicación que presentó la Comisión al Parlamento, titula- da “Un espaciode libertad, seguridad y justicia al servicio de los ciudadanos “, (COM 2009) 262 final, de 10 de junio de 2009.

EUCO 79/14, de 27 de junio de 2014.9.

DOUE L281, de 23 de noviembre de 1995.10.

DOUE L008, de 12 de enero de 2001.11.

DOUE L201/37, de 31 de julio de 2002.12.

DOUE L105/54, de 13 de abril de 2006.13.

DOUE L350/60, de 30 de diciembre de 2008.14.

DOUE L 119/89, de 4 de mayo de 2016.15.

DOUE L 119/88, de 4 de mayo de 2016.16.

1.- ASPECTOS GENERALES DEL REGLAMENTO (UE) 2016/679, DEL PARLAMENTO EU-ROPEO Y DEL CONSEJO, DE 27 DE ABRIL DE 2016, RELATIVO A LA PROTECCIÓN DELAS PERSONAS FÍSICAS EN LO QUE RESPECTA A SUS DATOS PERSONALES Y LALIBRE CIRCULACIÓN DE ESOS DATOS

El flujo de los datos personales del ciudadano es una cuestión que puede generar cierta inquietud sobreel tratamiento que se está dando a sus datos y la posible perdida de control de esos datos por parte deltitular de los mismos. La rápida evolución tecnológica y la globalización han planteado nuevos retospara la protección de datos personales17, retos que requerían respuestas por parte del legislador eu-ropeo.

La Directiva 95/46/CE fue relevante en materia de protección de datos, la cual trató de armonizar, yaunque los objetivos y principios de la misma siguen siendo válidos18, no es menos cierto que las di-ferencias en los niveles de protección de los derechos y libertades de las personas físicas hacían queexistieran divergencias en la ejecución y aplicación de la Directiva 95/46/CE. Estas deficiencias hacennecesario un nivel uniforme y elevado de protección de estos derechos, que supere la fragmentaciónnormativa, por ello, ha dado lugar a la promulgación del del RGPD.

La novedad estriba en que la regulación del derecho de protección de datos no se hace a través de unaDirectiva, sino a través de Reglamento, lo que significa que será directamente aplicable a los Estadosmiembros de la UE, sin necesidad de transposición19. El objeto del mismo es la protección de los de-rechos y libertades fundamentales de las personas físicas, en especial, el derecho a la protección delos datos personales. En España, recientemente se ha adaptado las disposiciones del RGPD al orde-namiento jurídico español, por medio de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección deDatos Personales y garantía de los derechos digitales20 (en adelante, LOPDGDD). Un matiz que de-bemos hacer es la facultad que recae en los Estados miembros para establecer normas relativas al tra-tamiento de los datos personales de las personas fallecidas. España, ha sido uno de los países que hadejado recogido el derecho a la protección de los datos personales de las personas fallecidas –art.3LOPDGDD–, pudiendo ejercer estos derechos cualquier persona que tenga un vínculo familiar conla persona fallecida, si bien la disposición no establece límites en cuanto al grado de parentesco21.

Respecto al ámbito de aplicación material, conviene precisar que el RGPD se aplicará al tratamientototal o parcial automatizado de datos personales, así como al tratamiento de datos no automatizadoscontenidos o destinados a ser incluidos en un fichero –art. 2–. Concretamente, no será de aplicaciónal tratamiento de datos personales que se efectúe por una persona física en el ejercicio de actividadesque sean exclusivamente personales o domésticas. De igual modo, tampoco resultará de aplicación altratamiento de los datos que se efectúe por las autoridades competentes con fines de prevención, in-vestigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales,resultando de aplicación, en el presente supuesto, la Directiva 2016/680/UE –art.1–, la cual aborda-remos en el epígrafe siguiente.

Por otro lado, en cuanto al ámbito territorial, el RGPD se aplicará al tratamiento de datos personales


Considerando 6º del RGPD.17.

La Directiva fue derogada por el RGPD.18.

PLAZA PENADÉS, Javier, «El nuevo marco normativo de la protección de datos», en Diario La Ley, Sección Actua-19.lidad Civil, nº 5, mayo de 2018, Editorial Wolters Kluwer, pág. 8.

BOE núm. 294, de 6 de diciembre de 2018.20.

MUÑOZ RODRÍGUEZ, Joaquín, «Disposiciones generales. Título I (Arts. 1-5 RGPD. Arts.1-3 LOPDGDD)» en21.VVAA (coord. LÓPEZ CALVO, José) La adaptación al nuevo marco de protección de datos tras el RGPD y laLOPDGDD, Wolters Kluwer, Madrid, 2019, pág. 329.Considerando 32 del RGPD.

en el contexto de las actividades de un establecimiento del responsable o encargado en la UE, con in-dependencia que el tratamiento tenga lugar en la UE o no –art. 3–.

Una cuestión que resulta de interés, y que ha marcado un hito con la promulgación del RGPD, es laprestación del consentimiento. Ésta difiere de la forma en que había de prestarse conforme a la Direc-tiva 95/46/CE, pues la misma no exigía que el consentimiento se prestara de forma expresa, cuestiónque el RGPD resuelve manifestando que el consentimiento debe darse mediante un acto afirmativoclaro que refleje una manifestación de voluntad libre –por escrito o verbalmente–, por tanto, la inten-ción del legislador europeo es que no exista ningún género de dudas en la prestación del consenti-miento, no siendo posible la presentación del mismo de forma tácita22.

Conforme a las condiciones para el consentimiento, dispone el art. 7 del RGPD que el responsabledel tratamiento de los datos debe ser capaz de demostrar el consentimiento. También recoge la facultaddel interesado de retirar el consentimiento en cualquier momento, circunstancia de la que debe ser in-formado.

Además, respecto al consentimiento prestado con anterioridad a la entrada en vigor del RGPD, el cualse prestó de forma diferente, aclara la nueva norma europea que cuando el consentimiento se hayaotorgado de conformidad con la Directiva 95/46/UE no se exige que el interesado preste el consenti-miento de nuevo si la forma de prestarlo se ajusta a las condiciones establecidas en el RGPD23.

1.1.- LOS DENOMINADOS DERECHOS ARCO.

Los derechos ARCO han sido ampliados como consecuencia de la promulgación del RGPD, introdu-ciéndose en el elenco de derechos: el derecho a la portabilidad, el derecho al olvido y el derecho a lalimitación (derechos ARCOPOL). Éstos hacen referencia a aquellos derechos que pueden ser ejerci-tados, de forma personal, por el interesado.

1.1.1.- Derecho de acceso.Con carácter preliminar, cabe recordar que el derecho de acceso, junto con el derecho de rectificaciónes uno de los derechos expresamente recogidos en el art. 8.2 de la CDFUE, lo cual denota la impor-tancia de este derecho.

Este derecho se define como el derecho a acceder, por parte del interesado, a aquellos derechos quele conciernan24. Si bien este derecho no debe afectar negativamente a los derechos y libertades de ter-ceros, incluido los secretos comerciales o la propiedad intelectual y, en particular, a los derechos depropiedad intelectual que protegen programas informáticos. Esta garantía de la protección de los de-rechos de los terceros no debe operar de forma que ampare la negativa a prestar la información al in-teresado. Además, en base a la cantidad de información que opera en poder del responsable, se habilitaal responsable para que pueda requerir al interesado para que especifique la información o actividadesdel tratamiento para la que cursa la solicitud –de acceso–.

Concretamente, este derecho de acceso está regulado en el art. 15 del RGPD, el cual establece que elinteresado tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratandoo no los datos personales que le conciernen y, en dicho caso, acceso a los datos personales y a la si-guiente información:


Considerando 117 RGPD.22.

El Considerando 63 del RGPD define el derecho de acceso como “derecho a acceder a los datos personales recogidos23.que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificarla licitud del tratamiento”.

24.

Los fines del tratamiento.a).

Categorías de los datos personales.b).

Los destinatarios o las categorías de destinatarios a los que se comunican los datos personales,c).en particular destinatarios en terceros u organizaciones internacionales.

El plazo de conservación de los datos personales o los criterios utilizados para fijar este plazo.d).

La existencia del derecho a solicitar del responsable la rectificación o supresión de los datose).personales o la limitación del tratamiento de los datos personales relativos al interesado, o elderecho a la oposición.

Derecho a formular reclamación ante la autoridad de control.f).Cuando los datos personales no se hayan obtenido del interesado, cualquier información dis-g).ponible sobre su origen.

En el caso de existencia de decisiones automatizadas, incluida la elaboración de perfiles, ten-h).drá derecho el interesado a conocer la información relativa a la lógica aplicada, así como laimportancia y las consecuencias.

El mencionado precepto contempla la transmisión de datos personales a un tercer país o a una orga-nización internacional, debiendo, en este supuesto, ser informado el interesado de las garantías ade-cuadas25.

Asimismo, el apdo. 3 del art. 15 del RGPD recoge la obligación del responsable del tratamiento defacilitar una copia de los datos personales objeto del tratamiento al interesado. El RGPD faculta alresponsable del tratamiento para fijar un canon razonable por las copias adicionales que se soliciten,sin embargo, no se establece esa facultad de fijar un canon para la primera copia que se solicite –siendo de carácter gratuito en virtud del art. 12.5 del RGPD–. Este canon –para copias adicionales(art. 15.3)– debemos diferenciarlo del establecido en el art. 12.5 del RGPD el cual faculta al respon-sable del tratamiento para cobrar un canon en el supuesto que las solicitudes sean infundadas o exce-sivas –siendo repetitivas–. El legislador español fija un plazo para considerar repetitivo el ejerciciodel derecho de acceso, contemplando en el art. 13.3 de la LOPDGDD que “a los efectos establecidosen el artículo12.5 del Reglamento (UE) 2016/679 se podrá considerar repetitivo el ejercicio del de-recho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa le-gítima para ello”. Por tanto, son dos situaciones diferentes26.

Al mismo tiempo se establece la facultad de facilitar la información por formato electrónico cuandoel interesado presente la solicitud por medios electrónicos y no requiera que la información se facilitede diferente modo.

1.1.2.- Derecho de rectificación.Este derecho se encuentra recogido en el art. 16 del RGDP, regulándose, pues, el derecho de exactitudque tiene el interesado, donde se contempla la posibilidad que el interesado emita una solicitud derectificación de los datos personales inexactos, solicitud que habrá de ser atendida por el responsable


Vid. art. 46.1 del RGPD.25.PUYOL MONTERO, Javier, «Transparencia de la información y derecho de acceso de los interesados» en VVAA26.(Dir. RALLO LOMBARTE, Artemi) Tratado de protección de datos: actualizado con la Ley Orgánica 3/2018, de 5de diciembre, de protección de datos personales y garantía de los derechos digitales, Tirant lo Blanch, Valencia, 2019,págs. 308 y ss.

del tratamiento de los mismos. Además, se añade la posibilidad de completar los datos que sean in-completos, incluso mediante una declaración adicional. Al respecto, se pronuncia APARICIO SALOMeste derecho a completar los datos personales “atribuye al interesado un derecho de disposición sobreel tratamiento27”.

Contribuye a ampliar el precepto, el art. 14 de la LOPDGDD, donde se dispone que el afectado deberáindicar los datos concretos a los que se refiere y la corrección que haya de hacerse, obligando a aportar,cuando sea preciso, la documentación acreditativa de la inexactitud a la que se refiere.

Este derecho conecta directamente con los principios anunciados en el art. 5 del RGPD donde se pro-clama que los datos personales serán exactos y, en caso de resultar necesario, actualizados.

1.1.3.- Derecho de supresión (el anteriormente denominado Derecho de cancelación).

El derecho de supresión se encuentra recogido en el art. 17 del RGPD, en virtud del cual el interesadotendrá derecho a exigir, del responsable del tratamiento de los datos, la supresión de los datos perso-nales. Se configura, así, como un derecho-obligación, tanto del interesado a formular la solicitud desupresión, como del responsable a suprimir los datos cuando concurra alguna de las siguientes cir-cunstancias: que los datos no sean necesarios para los fines para los que fueron recogidos o tratados;que el interesado retire el consentimiento; que el interesado se oponga; que sean objeto de tratamientoilícito; que la supresión traiga consecuencia en el cumplimiento de una obligación legal; que se hayanobtenido en relación con la oferta de servicios de la sociedad de información –en relación con la ofertade servicios realizada a niños y la consideración de licitud o ilicitud en función del umbral de edad–.

Conviene precisar que la LOPDGDD –art. 15 apdo. 2– introduce en este artículo, al regular el derechode supresión, la derivación de la misma como consecuencia del ejercicio del derecho de oposición –en el supuesto de mercadotecnia directa–.

Como una manifestación del mismo, aparece el derecho al olvido en el apdo. 2 del art. 17 del RGDP,el cual trataremos en el epígrafe correspondiente.

1.1.4.- Derecho de oposición.

La regulación del mismo se hace en el art. 21 del RGPD –art. 18 de la LOPDGDD–. Podemos delimitardos supuestos donde puede ejercerse este derecho: el primero de ellos, el enunciado en el Considerando60, cuando concurra el supuesto que el tratamiento, lícito, de los datos sea necesario, salvo por razonesde interés público o en ejercicio de los poderes públicos conferidos al responsable de los datos; el se-gundo, al que hace alusión el Considerando 70, cuando los datos sean tratados con fines de mercado-tecnia directa. La consecuencia del ejercicio de este derecho es el cese en tratamiento por parte delresponsable, con la excepción que se regula en el apdo.1 del art. 21, esto es, salvo que acredite motivoslegítimos imperiosos para el tratamiento o para la formulación, el ejercicio o la defensa de las recla-maciones.

Exige el apdo. 4 del art. 21 del RGPD facilitar la información al interesado sobre este derecho en laprimera comunicación que se efectúe.


APARICIO SALOM, Javier, «Derechos del interesado (Arts. 12-19 RGPD. Arts.11-16 LOPDGDD)» en VVAA (coord.27.LÓPEZ CALVO, José) La adaptación al nuevo marco …, op.cit. 345 y ss.

1.2.-DERECHO A LA PORTABILIDAD.

El derecho a la portabilidad se configura como uno de los nuevos derechos28 introducidos por el art.20 del RGPD –art. 17 de la LOPDGDD–. Mediante el ejercicio del mismo el interesado podrá solicitardel responsable del tratamiento que le devuelva los datos personales que le facilitó, o bien que setransmitan esos datos personales a otro responsable.

El ejercicio de este derecho encuentra su limitación en el art. 20. apdo. 3 cuando sea necesario para elcumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.

1.3.- DERECHO AL OLVIDO.

Al igual que el derecho del epígrafe anterior, este constituye una de las novedades del RGPD. La op-ción que opta el legislador europeo, en cuanto a su regulación, es incluirlo dentro del art. 17 –apdo.2–del RGPD junto con el derecho de supresión.

En efecto, se configura como una manifestación del derecho de supresión, en el sentido de informara los responsables que estén tratando datos personales del interesado de la solicitud de supresión decualquier enlace a esos datos, o cualquier copia o réplica, si bien, el matiz radica, aquí, en la publicaciónde los datos, momento en que se podrá ejercitar el derecho.

Se establecen limitaciones al derecho de supresión, así como al derecho al olvido, no pudiendo ejer-cerse ambos derechos cuando concurran los supuestos detallados en el apdo.3 del art. 17 del RGPD.

1.4.- DERECHO A LA LIMITACIÓN.

Este derecho se regula en el art. 18 del RGPD, en virtud del cual el interesado tendrá derecho a obtenerdel responsable la limitación del tratamiento cuando se den los requisitos que se enumeran en el pre-cepto.

Se establece una excepción al mismo, que es la dispuesta en el apdo. 2 del art. 18 del RGPD, habili-tándose para ser objeto de tratamiento, con el consentimiento del interesado o para la formulación, elejercicio o la densa de reclamaciones u orientado a la protección de los derecho de otra persona.

El precepto impone la obligación de información al interesado antes que proceda el levantamiento dela limitación, para el supuesto que se haya acordado la misma.

2.- PRINCIPIO DE DISPONIBILIDAD Y PROCESO PENAL EN EL MARCO DE LA DIREC-TIVA (UE) 2016/680, DEL PARLAMENTO EUROPEO Y DEL CONSEJO, DE

27 DE ABRIL DE 2016, RELATIVA A LA PROTECCIÓN DE LAS PERSONAS FÍSICAS ENLO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES POR PARTE DE LASAUTORIDADES COMPETENTES PARA FINES DE PREVENCIÓN, INVESTIGACIÓN, DE-TECCIÓN O ENJUICIAMIENTO DE INFRACCIONES PENALES O DE EJECUCIÓN DESANCIONES PENALES, Y A LA LIBRE CIRCULACIÓN DE DICHOS DATOS.

III.1.- EL PRINCIPIO DE DISPONIBILIDAD Y SU DESARROLLO LEGISLATIVO EN EL ÁM-BITO PENAL.

Como consecuencia de los trágicos ataques terroristas, concretamente los atentados de Nueva York,Madrid y Londres, se hizo necesario mejorar el sistema de transmisión de datos entre los Estadosmiembros para la erradicación de la lacra del terrorismo, así como la adopción de medidas que refor-zara la cooperación policial. La conmoción por los atentos acaecidos llevaron a que el Consejo apro-


Sobre estos nuevos derechos Vid. Comunicación de la Comisión al Parlamento Europeo y al Consejo sobre “mayor28.protección, nuevas oportunidades: Orientaciones de la Comisión sobre la aplicación directa del Regla- mento generalde protección de datos a partir del 25 de mayo de 2018”, COM (2018) 43 final, de 24 de mayo de 2018.

bara la Declaración sobre la lucha contra el terrorismo –en 2004–29, donde se ponía el foco de atención,entre otras medias, en la simplificación del intercambio de información entre los cuerpos y fuerzas deseguridad de los Estados miembros. Ese mismo año, la Comisión presentó sendas Comunicaciones,en mayo tuvo lugar una, para “reforzar la cooperación policial y aduanera en la Unión Europea”30

y, en junio, la otra “sobre la mejora del acceso a la información por parte de las autoridades encar-gadas de garantizar el cumplimiento de la ley”31.En la primera de las comunicaciones se considera que la ampliación de la UE –consecuencia de la in-tegración de nuevos Estados miembros– hace necesario clarificar y establecer prioridades para la coo-peración aduanera y policial de cara al futuro. En sus conclusiones y recomendaciones se señalan dosgrandes ejes de actuación para mejorar la cooperación policial y aduanera: el primero de ellos, el re-ferido al flujo de información32; el segundo, la efectiva cooperación transfronteriza.

La segunda de ellas, proclama la libre circulación de la información entre EUROPOL y EUROJUSTe introduce el principio de acceso equivalente, mediante el cual se permitía a las autoridades y fun-cionarios encargados de garantizar el cumplimiento de la ley –esto es, autoridades policiales– pudieranacceder a las bases de datos de otros Estados miembros, como si fuera una base de datos propia de lasautoridades y funcionarios nacionales competentes.

Finalmente, se desarrolló el principio de disponibilidad, recogiéndose expresamente en el Programade la Haya de 2005 a 2010, conforme al cual las autoridades competentes de cada Estado miembropodrán acceder a los datos personales en orden a la prevención e investigación de delitos33.

Un hito relevante en el inicio del desarrollo del principio de disponibilidad fue el acontecido con elTratado de Prüm34, estableciéndose la intención de reforzar la cooperación transfronteriza y, en espe-cial, el intercambio de información –en clara referencia al principio de disponibilidad–35.


Declaración de Bruselas, de 25 de marzo de 2004. Se manifestó que “El Consejo Europeo, con el objeto de seguir de-29.sarrollando el marco legislativo mencionado más arriba, encarga al Consejo que estudie medidas en los siguientessectores: propuestas destinadas a establecer normas sobre la conservación de datos de tráfico de comunicacionespor parte de los proveedores de servicios; intercambio de información sobre condenas por delitos de terrorismo;persecución transfronteriza; un registro europeo de condenas e inhabilitaciones; una base de datos sobre materialforense, y simplificación del intercambio de información entre los cuerpos y fuerzas de seguridad de los Estadosmiembros”.Comunicación de la Comisión al Parlamento Europeo y al Consejo para reforzar la cooperación policial y aduanera30.en la Unión Europea, de 18 de mayo de 2004, COM (2004) 376 final.

Comunicación de la Comisión al Consejo y al Parlamento Europeo sobre la mejora del acceso a la información por31.parte de las autoridades encargadas de garantizar el cumplimiento de la ley, de 16 de junio de 2004, COM (2004) 429final

Cfr. COM (2004) 376….op.cit. págs. 40 y ss. Concretamente señala la necesidad de “garantizarse la interope- rabilidad32.de las diferentes bases de datos y sistemas de comunicación, tanto policiales como aduaneros, utilizados por losservicios responsables de la aplicación de las leyes de los Estados miembros. Al nivel institucional de la UE, habríaque hallar mecanismos para fomentar la colaboración y el intercambio de datos entre la OLAF y Europol. Deberíaconcluirse un acuerdo que regulara el intercambio de datos personales entreambos”.GALÁN MUÑOZ, Alfonso, «La protección de datos de carácter personal en los tratamientos destinados a la preven-33.ción, investigación y represión de delitos: hacia una nueva orientación de la política criminal de la Unión Europea»en VVAA (Dir. COLOMER HERNÁNDEZ, Ignacio) La transmisión de datos personales en el seno de la cooperaciónjudicial penal y policial en la Unión Europea”, Aranzadi, Cizur Menor, 2015, págs. 37 y ss.

El 27 de mayo de 2007 siete Estados miembros (Bélgica, Alemania, España, Francia, Luxemburgo, Holanda y Austria;34.posteriormente suscrito por Italia, Finlandia, Portugal, Bulgaria, Hungría, Rumanía, Eslovaquia y Eslo- venia) firmaronel Convenio relativo a la profundización de la cooperación transfronteriza, en particular en materia de lucha contrael terrorismo, la delincuencia transfronteriza y la migración ilegal.

DE HOYOS SANCHO, Montserrat, «Profundización en la cooperación transfronteriza en la Unión Europea: obten-35.ción, registro e intercambio de perfiles de ADN de sospechosos», en VVAA (Dir. ARANGÜENA FANE- GO, Coral)Espacio europeo de libertad, seguridad y justicia: últimos avances en cooperación judicial penal, Lex Nova, Valla-dolid, 2010, págs. 151 y ss. Afirma la autora que “el Tratado de Prüm supuso en su momento un hito en el reforzamiento

A iniciativa sueca, tuvo origen la Decisión Marco 2006/960/JAI del Consejo, de 18 de diciembre de2006, sobre la simplificación del intercambio de información e inteligencia entre los servicios de se-guridad de los Estados miembros de la Unión Europea36 (en adelante, DM 2006/960/JAI), considerada,por algunas voces reconocidas, como una primera aproximación del principio de disponibilidad37.Entre sus objetivos, se encuentra la necesidad de establecer normas que permitan el intercambio, entrelos servicios de seguridad de los Estados miembros, rápido y eficaz de información e inteligencia dis-ponibles para llevar a cabo investigaciones criminales, velando por la protección de los datos perso-nales.

Posteriormente, en aras de desarrollar el principio de disponibilidad y con el objeto de implementacióndel Tratado, se promulgó la Decisión 2008/615/JAI del Consejo, de 23 de junio de 2008, sobre la pro-fundización de la cooperación transfronteriza, en particular en materia de lucha contra el terrorismoy la delincuencia transfronteriza38, con el objetivo de incorporar los aspectos esenciales de las dispo-siciones de dicho Tratado en el ordenamiento jurídico de la UE. La Decisión 2008/615/JAI contem-plaba entre sus disposiciones: por un lado, el acceso a los ficheros de análisis de ADN39, así como alos sistemas automatizados de identificación dactiloscópica; y, por otro lado, la consulta automatizadade los datos de registros de matriculación de vehículos. De igual modo, se introducen disposicionesrelativas a la transmisión de datos con el objetivo de prevenir ataques terroristas, así como disposicio-nes encaminadas a reforzar la cooperación policial, con fines de prevención de delitos y amenazaspara la seguridad y el orden público. En consecuencia, la novedad radica aquí en el acceso en líneapara la consulta de las bases de datos de otros Estados miembros40.

Finalmente, debemos reseñar la Decisión 2008/616/JAI del Consejo, de 23 de junio de 2008, relativaa la ejecución de la Decisión 2008/615/JAI sobre la profundización de la cooperación transfronteriza,en particular en materia de lucha contra el terrorismo y la delincuencia transfronteriza41, la cual tienecomo objetivo la ejecución de la Decisión Prüm42.

Continuando con el afán de seguir desarrollando el ELSJ, y con la imperante preocupación de losatentados terroristas, en el Programa de Estocolmo 2010-2014 se establecen las prioridades para llevara cabo en los años venideros, entre ellas, la protección de los derechos fundamentales de los ciudada-nos, en especial el derecho de protección de datos de carácter personal. También, se pone de manifiesto


y profundización de la cooperación transfronteriza entre las autoridades encargadas de la persecución penal en losrespectivos Estados firmantes de aquél”.DOUE L386, de 29 de diciembre de 2006.36.

MARTÍNEZ PÉREZ, Fernando y POZA CISNEROS, María, «El principio de disponibilidad: antecedentes penales y37.convenio de Prüm» en VVAA (Dir. CARMONA RUANO, Miguel, GONZÁLEZ VEGA, Ignacio U., MORENO CA-TENA, Víctor) Cooperación Judicial Penal en Europa, Madrid, Dykinson, 2013, págs. 417 y ss

DOUE L210, de 6 de agosto de 2008.38.

Cfr. DE HOYOS SANCHO, Montserrat, «Profundización en la cooperación transfronteriza en la Unión Euro- pea…39.», op. cit. págs. 151 y ss. Al respecto manifiesta la autora que “el sistema general previsto en la Decisión […] dejandobien claro que no está prevista en la norma la posibilidad de un acceso directo de las autoridades encargadas de lapersecución penal a todos los datos de los respectivos ficheros nacionales de perfiles de ADN. El mecanismo de in-tercambio de información se ha diseñado de tal manera que se pueda saber con rapidez y certeza si el dato que sebusca […] se encuentra o no se encuentra archivado en la base o base de datos nacionales consultadas”.GONZÁLEZ CANO, María Isabel, «Cesión y tratamiento de datos personales, principio de disponibilidad y coope-40.ración judicial penal en la Unión Europea», en VVAA (Dir. COLOMER HERNÁNDEZ, Ignacio) Cesión de DatosPersonales y Evidencias entre Procesos Penales y Procedimientos Administrativos Sancionadores o Tributarios, Aran-zadi, Cizur Menor, 2017, págs. 41 y ss.

DOUE L210, de 6 de agosto de 2008.41.

En España, la regulación referente a la materia reseñada se encuentra en la LO 10/2007, de 8 de octubre, regu- ladora42.de la base de datos policial sobre identificadores obtenidos a partir del ADN; así como en los arts. 326, 363 y 778.3de la LECRIM.

los logros conseguidos a través de los instrumentos creados para recabar, procesar y compartir infor-mación entre autoridades nacionales y otros actores europeos, contribuyendo el principio de disponi-bilidad a dar impulso a esta labor. En este orden de cuestiones, el citado Programa contempla lanecesidad de realizar un estudio de viabilidad para la creación de un Sistema Europeo de Fichero Po-licial (EPRIS), así como un sistema de registros de nombres de pasajeros (PNR)43, a efectos de pre-vención, detección, investigación y enjuiciamiento de los delitos terroristas y los delitos graves.

La consagración del principio de disponibilidad, como afirma GONZÁLEZ CANO44, viene dada porla DM 2008/977/JAI. Como se dispone en su art.1, el objeto de la misma es garantizar un alto nivelde protección de los derechos y libertades fundamentales de las personas físicas y, en particular, suderecho a la intimidad en lo que respecta al tratamiento de datos personales en el marco de la coope-ración policial y judicial en materia penal. Igualmente, se procedió a la regulación del tratamientoposterior de los datos cedidos, así como su conservación y posterior transmisión a particulares. Endefinitiva, viene a establecer un cuerpo de normas comunes del tratamiento de los datos personalesen el marco de la cooperación policial y judicial penal.

No obstante, debemos detenernos brevemente en los motivos por los cuales la DM 2008/977/ JAI nofuncionó ni llegó a consagrarse como norma de referencia en esta materia. En primer lugar, su ámbitode aplicación era limitado, ya que su extensión se circunscribía al intercambio de datos personalesentre diferentes Estados, pero no se hacía referencia al intercambio de datos en el ámbito nacional –entre autoridades de un mismo Estado–. En segundo lugar, tampoco se mostró una regulación armo-nizada que paliara las diferencias existentes entre los Estados miembros. Por último, se daba laausencia absoluta del principio de especialidad y, además, se daba la circunstancia que el art. 3.2 dela DM 2008/977/JAI, en concordancia con el art. 11, admitía la utilización de datos para fines distintosde los que originaron la transmisión de los mismos, siempre que concurrieran los siguientes requi-sitos:

a) que no sea incompatible con los fines para los que se recogieron los datos; b) las autoridades com-petentes estén autorizadas a tratar los datos para tales otros fines; c) el tratamiento sea necesario paraese otro fin y proporcionado a él.

Lo que viene a ponerse de manifiesto es que estas excepciones al principio de especialidad permitenun tratamiento para cualquier otro fin diferente para el que se obtuvieron los datos.

En este sentido, se pronuncia GONZÁLEZ CANO afirmando que “esta posibilidad de que el Estadocesionario utilice los datos obtenidos para otros fines y para la investigación y enjuiciamiento deotros delitos, directamente relacionados o no con aquellos para cuya investigación y enjuiciamientose cedieron, aunque parece responder al principio de proporcionalidad y necesariedad, sin embargodesconoce el principio de especialidad, lo que conlleva un grave déficit de garantías para el sujetosospechoso o acusado, y, además, puede dar lugar a graves reticencias por parte del Estado ce-dente”45.


Directiva 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos43.del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de losdelitos de terrorismo y de la delincuencia grave, DOUE L119, de 4 de mayo de 2016.

Cfr, GONZÁLEZ CANO, María Isabel, «Cesión y tratamiento de datos personales, principio de disponibilidad…»,44.op.cit. 41 y ss.

Cfr, GONZÁLEZ CANO, María Isabel, «Cesión y tratamiento de datos personales, principio de disponibilidad…»,45.op.cit. 41 y ss.

2.2.- PRINCIPIOS RECTORES DE LA OBTENCIÓN Y EL TRATAMIENTO DE DATOS PERSO-NALES EN LA DIRECTIVA (UE) 2016/680.

Ante las deficiencias normativas que existían y con la imperiosa necesidad de dar respuestas a las exi-gencias producidas por el desarrollo tecnológico, se promulgó la Directiva 2016/680/ UE46. Con elobjetivo marcado de fortalecer el ELJS, resulta necesario facilitar la libre circulación de datos perso-nales entre las autoridades competentes con fines de prevención, investigación, detección o enjuicia-miento en el ámbito de la cooperación penal47.

El objeto de la misma es establecer normas relativas a la protección de las personas físicas en lo querespecta al tratamiento de datos personales por parte de las autoridades competentes, a efectos de pre-vención, investigación, detección y enjuiciamiento48.

Los principios rectores del tratamiento de los datos personales se recogen en el art. 4.1 de la Direc-tiva 2016/680/UE considerando que los datos personales deberán ser:

tratados de manera lícita y leal;a).

recogidos con fines determinados, explícitos y legítimos, y no ser tratados de forma incom-b).patible con esos fines;

adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados;c).exactos y, si fuera necesario, actualizados; se habrán de adoptar todas las medidas razonablesd).para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos conrespecto a los fines para los que son tratados;

conservados de forma que permita identificar al interesado durante un período no superiore).al necesario para los fines para los que son tratados; f) tratados de tal manera que se garanticeuna seguridad adecuada de los datos personales, incluida la protección contra el tratamientono autorizado o ilícito y contra su pérdida, destrucción o daño accidentales, mediante la apli-cación de medidas técnicas u organizativas adecuadas.

En el apdo. 2 del art. 4 de la Directiva 2016/680/UE, para los fines establecidos en apdo. 1 del art.1 –esto es, fines de prevención, investigación, detección o enjuiciamiento– se permite el tratamiento au-torizado de dichos datos para fines distintos de aquel para el que se recojan, siempre que el responsabledel tratamiento esté autorizado, y con sujeción a los principios de necesidad y proporcionalidad. Endefinitiva, la excepción al precepto general viene marcada por este apdo., el cual prevé la posibilidadque se traten los datos para el mismo fin pero en distinta causa, siempre y cuando el tratamiento estéautorizado para fines distintos; ello opera, como una excepción al principio de especialidad.


Así queda recogido en el Considerando 3º de la Directiva 2016/680/UE: “La rápida evolución tecnológica y la glo-46.balización han planteado nuevos retos en el ámbito de la protección de los datos personales. Se ha incre- mentadode manera significativa la magnitud de la recogida y del intercambio de datos personales. La tecnolo- gía permite eltratamiento de los datos personales en una escala sin precedentes para la realización de actividades como la pre-vención, la investigación, la detección o el enjuiciamiento de infracciones penales o la ejecución de sanciones pena-les”.Considerando 4º de la Directiva 2016/680/UE.47.

Respecto a su ámbito de aplicación establece el Considerando 14 que “puesto que la presente Directiva no debe apli-48.carse al tratamiento de datos personales en el marco de una actividad que no esté comprendida en el ámbito de apli-cación del Derecho de la Unión, no deben considerarse comprendidas en el ámbito de aplicación de la presenteDirectiva las actividades relacionadas con la seguridad nacional, las actividades de los servicios o unidades quetraten cuestiones de seguridad nacional y las actividades de tratamiento de datos personales que lleven a cabo losEstados miembros en el ejercicio de las actividades incluidas en el ámbito de aplicación del título V, capítulo 2, delTratado de la Unión Europea(TUE)”.

Por otro lado, los derechos del interesado se regulan en el capítulo III de la Directiva 2016/680/UE–arts. 12 a 18–. Concretamente, el responsable del tratamiento de los datos tendrá la obligación de in-formar al interesado de la información contenida en el at. 13 apdo. 1 de la Directiva 2016/680/UE, sibien, tal derecho puede verse limitado al amparo de lo dispuesto en el art. 13 apdo. 3 al prever que losEstados miembros adopten medidas legislativas por las que se retrase, limite u omita la puesta a dis-posición del interesado de la información contenida en el apdo. 2 –información adicional–49. Esta po-sibilidad requiere que la medida sea necesaria y proporcional en una sociedad democrática, teniendodebidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afec-tada para: a) evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o ju-diciales; b) evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento deinfracciones penales o a la ejecución de sanciones penales; c) proteger la seguridad pública; d) protegerla seguridad nacional; e) proteger los derechos y libertades de otras personas.

El precepto hace recaer la facultad de limitación del derecho a la información en los Estados miembros,con los diferentes criterios que se puedan adoptar en cada Estado miembro, careciendo de un ciertogrado de precisión. De igual modo, el precepto no contempla plazos máximos para la limitación delderecho, que como argumenta GONZÁLEZ CANO “no establecer ninguna regla sobre duración deestas limitaciones no es una opción muy respetuosa con el principio de proporcionalidad50”.El derecho de acceso, regulado en el art. 14 de la Directiva 2016/680/UE, establece el derecho del in-teresado a obtener, del responsable del tratamiento, confirmación de si se están tratando o no sus datospersonales y, en caso afirmativo, el acceso a dichos datos. Este derecho puede verse limitado al amparode las causas establecidas en el art. 15 de la Directiva 2016/680/UE, con sujeción a los principios deproporcionalidad y necesidad. Al igual que sucede en la limitación del derecho de información, en lalimitación del derecho de acceso tampoco se fijan plazos de duración de la medida limitativa, lo quepodría conllevar a una limitación que se dilate en el tiempo.

Hay autores que sostienen el carácter controvertido de estos derechos, dada la existencia de recono-cimiento de los derechos procesales al sospechoso o acusado en el marco del proceso penal, pues yatienen reconocidos el derecho a ser informados sobre la acusación, el derecho a defenderse, así comoel acceso a las actuaciones. GUTIÉRREZ ZARZA considera que “no es preciso reconocerles susequivalentes en materia de protección de datos, esto es, los derechos de información y acceso51”. Anuestro juicio, entendemos que la información de los derechos en materia de protección de datos su-pone un plus a las garantías de los sospechosos o acusados, pues si bien es cierto que en el marco delproceso el sospechoso o acusado tiene reconocidos ya los derechos procesales, no es menos ciertoque los derechos recogidos por la Directiva 2016/680/UE –los relativos a la información y acceso–van orientados, por ejemplo, a informar al interesado de su derecho a presentar una reclamación ante


Art. 13.2 Directiva 2016/680/UE: “Además de la información indicada en el apartado 1, los Estados miembros dis-49.pondrán por ley que el responsable del tratamiento de los datos proporcione al interesado, en casos concretos, la si-guiente información adicional, a fin de permitir el ejercicio de sus derechos: a) la base jurídica del tratamiento; b)el plazo durante el cual se conservarán los datos personales o, cuando esto no sea posible, los criterios utilizadospara determinar ese plazo; c) cuando corresponda, las categorías de destinatarios de los datos personales, en parti-cular en terceros países u organizaciones internacionales; d) cuando sea necesario, más información, en particularcuando los datos personales se hayan recogido sin conocimiento del interesado”.Cfr. GONZÁLEZ CANO, María Isabel, «Cesión y tratamiento de datos personales, principio de disponibilidad…»,50.op.cit. 41 y ss.

GUTIÉRREZ ZARZA, Ángeles, «La protección de las personas físicas en lo que respecta a su derecho a la intimidad51.y los datos personales por las autoridades de emisión y ejecución de las órdenes europeas de investiga- ción» en VVAA(Dir. ARANGÜENA FANEGO, Coral y DE HOYOS SANCHO, Montserrat) Garantías procesales de investigadosy acusados. Situación actual en el ámbito de la Unión Europea, Tirant lo Blanch, Valencia, 2017, págs. 435 y ss.

la autoridad de control, el derecho a solicitar del responsable del tratamiento su rectificación o supre-sión, etc. Por ello, el sospechoso o acusado no es informado de estas cuestiones al proporcionárselela información sobre sus derechos procesales. Esta cuestión afianza la necesidad de transposición dela citada Directiva en el ordenamiento jurídico español

Continúa el art. 16 de la Directiva 2016/680/UE con el derecho de rectificación o supresión de datospersonales, otorgándose el derecho al interesado de rectificar los datos inexactos o a completar aquellosque estén incompletos, en particular, mediante una declaración suplementaria. El apdo. 6 del art. 16de la Directiva 2016/680/UE viene a establecer una similitud con el art. 17.2 RGPD –derecho al ol-vido–, disponiendo la notificación al destinatario de los datos personales que hayan sido rectificadoso suprimidos, o se haya limitado el tratamiento, para que aquél proceda a la rectificación, supresión olimitación del tratamiento.

Por último, el art. 18 de la Directiva 2016/680/UE da por finalizado el capítulo III, con los derechosdel interesado en las investigaciones y los procesos penales, haciendo recaer en los Estados miembrosla facultad para disponer de los derechos mencionados ut supra – información, acceso, rectificacióno supresión– conforme al Derecho del Estado en cuestión.

Ya en el Capítulo VIII, el art. 52 de la Directiva 2016/680/UE reconoce el derecho del interesado apresentar una reclamación ante una autoridad de control si se ha producido vulneración de las dispo-siciones de la citada Directiva. Sigue el art. 53 de la Directiva 2016/680/UE con el derecho a la tutelajudicial efectiva contra una resolución jurídicamente vinculante emanada de una autoridad de control52.

En base a la normativa detallada, y con los argumentos expuestos, queda claro que se debe conseguirel equilibrio entre la protección de los derechos fundamentales de los ciudadanos y combatir las formasde delincuencia que siguen proliferando en el ámbito de la UE. Ahora bien, quizás debamos reflexionar,si como fundamento basado en la lucha contra la delincuencia –especialmente, los actos terroristas yformas similares de delincuencia grave– los ciudadanos no estamos, cada vez, más sometido a un con-trol y seguimiento de nuestros datos personales –v.gr. datos PNR–53.

2.3.-EL CAMINO MARCADO POR LA JURISPRUDENCIA DEL TJUE.

La jurisprudencia del TJUE ha sido decisiva en las nuevas orientaciones seguidas por la normativavigente –Directiva 2016/680/UE–. Especial consideración hay que hacer a las sentencias dictadas por

este tribunal: en primer lugar, la STJUE, de 8 de abril de 2014, en los asuntos acumulados C‑293/12y C‑594/12, que tiene su origen en peticiones de cuestiones prejudiciales planteadas por Irlanday Austria54; en segundo lugar, la STJUE, de 21 de diciembre de 2016, en los asuntos acumulados


PILLADO GONZÁLEZ, Esther, «Difícil equilibrio entre seguridad y salvaguarda del derecho a la protección de datos52.personales en la prevención, investigación y represión de delitos en la Unión Europea» en VVAA (Dir. GONZÁLEZCANO, María Isabel) Integración europea y justicia penal, Tirant lo Blanch, Valencia, 2018, págs. 515 y ss.

GALÁN MUÑOZ, Alfonso, «Los nuevos instrumentos de prevención y lucha contra el nuevo terrorismo: malas no-53.ticias para la intimidad y otros derechos fundamentales» en VVAA (Dir. COLOMER HERNÁNDEZ , Ignacio) Cesiónde Datos Personales y Evidencias entre Procesos Penales … op.cit. págs. 81 y ss. Expone el autor que “los derechosfundamentales de los ciudadanos están siendo sometidos a enormes tensiones y restricciones en los últimos tiemposcomo consecuencia de un fenómeno criminal muy concreto: el denominado terrorismo yihadista […]. La conclusiónes desalentadora, pero no puede ser otra. Corren malos tiempos para los derechos fundamentales y es por ello, porlo que, hoy más que nunca, hay que recordar que la política criminal de los países democráticos no puede estar ex-clusivamente orientada a la efectividad en la prevención y castigo de delitos, sino que también ha de tender a garan-tizar los derechos y garantías que los convierten tales”.Tribunal de Justicia de la Unión Europea, Gran Sala, Sentencia de 8 de abril de 2014, asunto C-293/12 y C-594/12.54.Disponible en: www.curia.europea.eu

C‑203/15 y C‑698/15, que tiene su origen en peticiones de cuestiones prejudiciales planteadas porSuecia y Reino Unido55; y, por último, la STJUE, en el asunto C-207/16, que tiene su origen en lascuestión prejudicial planteada por la AP de Tarragona56.

En la STJUE de 8 de abril de 2014, la cuestión principal versa sobre la validez de la Directiva2006/24/CE y su compatibilidad con los derechos a la vida privada y la protección de los datos de ca-rácter personal, así como a la libertad de expresión (arts. 7, 8, 11 CDFUE). La cuestión trataba sobresi la conservación por los proveedores de los datos personales conllevan una colisión con los derechosfundamentales de los arts. 7 y 8 de la CDFUE.

El TJUE establece que aunque la conservación de datos que impone la Directiva 2006/24/CE consti-tuye una injerencia en el derecho fundamental a la protección de datos de carácter personal y en el de-recho a la vida privada, no permite la revelación del contenido de las comunicaciones. Si bien,partiendo de la premisa que la injerencia responde a un objetivo de interés general, considera que lainjerencia encuentra legitimación en la valiosa información que se puede obtener de los datos conser-vados para la investigación, detección y enjuiciamiento –teniendo como finalidad la lucha contra ladelincuencia organizada y la seguridad–.

Analizando en profundidad, la Directiva 2006/24/CE considera el TJUE que: en primer lugar, el campode aplicación de la misma es extenso, sin que se establezca limitación, pues se aplica a todos los usua-rios registrados o abonados, a todos los medios de comunicación electrónica y datos; igualmente, seaplica a todas las personas, incluso aquellas sobre las que no exista indicio o sospecha de la comisiónde un hecho delictivo grave; en segundo lugar, tampoco establece ningún criterio para delimitar el ac-ceso y utilización a los datos por las autoridades competentes; en tercer lugar, fija un período mínimode seis meses para la conservación de los datos, pero no establece distinción entre las categorías dedatos previstas en función con la utilidad que va a reportar al objeto perseguido o a los afectados.

En base a ello, considera el TJUE que la Directiva 2006/24/CE constituye una injerencia en los dere-chos fundamentales, no respetándose por el legislador el principio de proporcionalidad, siendo estomotivo suficiente por el que se declaró la invalidez de la Directiva 2006/24/CE.

Por otro lado, otra de las sentencias relevantes dictadas por el TJUE es la de 21 de diciembre de 2016,la cual tiene por objeto la interpretación del art. 15 apdo. 1 de la Directiva 2002/58/ CE en relacióncon los arts. 7, 8 y 52.1 de la CDFUE. La problemática dimana de la invalidez de la Directiva2006/24/CE y la no conservación de los datos por parte de los proveedores de servicio objeto dellitigio, hecho que fue notificado por la empresa Tele2. Sin embargo, el Derecho sueco si establecía laobligación de conservación de esos datos, por tanto, se suscita la controversia en relación a la compa-

tibilidad con el Derecho de la UE. Por oro lado, los Sres. Watson, Brice y Lewis –asunto C‑698/15–presentaron recursos por los que solicitaban el control de la legalidad del art. 1 de la DRIPA, invo-cando en particular la incompatibilidad de dicho artí. con los arts. 7 y 8 de la Carta y con el art. 8 delCEDH. La Court of Appeal (England & Wales) decidió suspender el procedimiento y plantear cuestiónprejudicial ante el TJUE. El TJUE resolvió ambas cuestiones prejudiciales concluyendo que, en con-sonancia con los argumentos utilizados en en la Sentencia de 8 de abril de 2014, considera que el art.15. apdo.1 de la Directiva 2002/58/UE, en relación con los arts. 7, 8 y 52.1 CDFUE se opone a unanormativa nacional: de un modo, “que establece, con la finalidad de luchar contra la delincuencia,la conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos


Tribunal de Justicia de la Unión Europea, Gran Sala, Sentencia de 21 de diciembre de 2016, asunto C203/15 y 698/15.55.Disponible en: www.curia.europea.eu

Tribunal de Justicia de la Unión Europea, Gran Sala, Sentencia de 2 de octubre de 2018, asunto C-207/16. Disponible56.en: www.curia.europea.eu

los abonados y usuarios registrados en relación con todos los mediosde comunicación electrónica”;de otro; “que regula la protección y la seguridad de los datos de tráfico y de localización, en particularel acceso de las autoridades nacionales competentes a los datos conservados, sin limitar dicho acceso,en el marco de la lucha contra la delincuencia, a los casos de delincuencia grave, sin supeditar dichoacceso a un control previo por un órgano jurisdiccional o una autoridad administrativa independiente,y sin exigir que los datos de que se trata se conserven en el territorio de la Unión”. Por último, elTJUE consideró inadmisible la segunda cuestión prejudicial planteada por la Court of Appeal (England& Wales).

En última instancia, la STJUE de 2 de octubre de 2018 tiene por objeto la interpretación del art. 15.1de la Directiva 2002/58/CE en relación con los arts. 7 y 8 de la CDFUE. El procedimiento principal,que, posteriormente, derivó en la presente cuestión prejudicial, traía causa en una denuncia presentadaante la Policía como consecuencia de un robo con violencia, donde se sustrajo, entre otras cosas, elteléfono móvil del denunciante. Con objeto de averiguar los sujetos responsables del hecho delictivo,la Policía solicitó que se se ordenara a diversos proveedores la transmisión de datos personales enaras a la identificación de los titulares de las tarjetas SIM activadas con el teléfono móvil sustraído,resultando la diligencia denegada por el juez instructor57. En el supuesto de hecho la cuestión se cir-cunscribe a si la gravedad del delito cometido es suficiente para habilitar a la obtención de los datospersonales conservados por los proveedores de servicios, con clara injerencia en los derechos funda-mentales. Al respecto considera el TJUE que la injerencia en los derechos fundamentales de los indi-viduos no reviste el carácter de gravedad, en base a que con los datos obtenidos a través de las tarjetasSIM no se puede conocer la fecha, la hora, la duración , el lugar o los destinatarios de las comunica-ciones efectuadas con esas tarjetas, por tanto, no permiten extraer conclusiones precisas sobre la vidaprivada de los afectados. Por los motivos expuestos, concluye el TJUE que la injerencia en los de-rechos fundamentales está justificada con fundamento en la prevención, investigación, descubrimientoy persecución delictiva.

2.4.- BREVE CONSIDERACIÓN SOBRE DISPONIBILIDAD DE DATOS PERSONALES YORDEN EUROPEA DE INVESTIGACIÓN.

En el actual marco de la cooperación judicial penal, ha supuesto un nuevo planteamiento, que surgecon ánimo de ser más ambicioso que los instrumentos anteriores, la Directiva 2014/41/ UE del Parla-mento Europeo y del Consejo, de 3 de abril de 2014, relativa a la orden europea de investigación enmateria penal58 (en adelante, DOEI). La Directiva 2014/41/UE supone un nuevo esquema normativodonde se unifica en un sólo instrumento las normas comunes para la obtención de pruebas59. En Es-paña, se ha transpuesto la DOEI mediante la Ley 3/2018, de 11 de junio, por la que se modifica la Ley23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea(en adelante, LRMRP).

Se contempla expresamente, en su considerando 40, la protección de los datos personales: “La pro-


El auto se deniega en virtud de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comuni-57.caciones electrónicas y a las redes públicas de comunicaciones, la cual limita la cesión de los datos conservados porlas operadoras de telefonía móvil a los delitos graves. Posteriormente entró en vigor la LO 13/2015, que como exponeel tribunal, introduce dos criterios para determinar la gravedad del delito: por un lado, el com- puesto por conductastípicas de especial relevancia; y, por otro lado, que la pena prevista para el delito en cues- tión supere el umbral de tresaños.

DOUE 130, de 1 de mayo de 2014.58.

Se deroga la Decisión Marco 2008/978/JAI del Consejo, de 18 de diciembre de 2008, relativa al exhorto europeo de59.obtención de pruebas para recabar objetos, documentos y datos destinados a procedimientos en materia penal.

tección de las personas físicas en relación con el tratamiento de datos personales es un derecho fun-damental. De conformidad con el artículo 8, apartado 1, de la Carta de los Derechos Fundamentalesde la Unión Europea y el artículo 16, apartado 1, del TFUE, toda persona tiene derecho a la protec-ción de los datos de carácter personal que leconciernan”.

Asimismo, en el considerando 42 se hace referencia al uso de los datos personales cuando obedezcana los principios de necesidad y proporcionalidad, disponiéndose lo siguiente: “Los datos personalesobtenidos en virtud de la presente Directiva deben procesarse solo cuando sea necesario y ser pro-porcionados para fines compatibles con la prevención, investigación, detección y enjuiciamiento dedelitos, la aplicación de sanciones penales y el ejercicio de los derechos de la defensa. Solo personasautorizadas deben tener acceso a información que contenga datos de carácter personal que puedanconseguirse a través de procesos de autenticación”. De este modo, el artículo 20 de la DOEI haceuna remisión a la DM 2008/977/JAI, derogada por la Directiva 2016/680/UE, por tanto, ésta últimaserá de aplicación al tratamiento de los datos personales.

Del mismo modo, la LRMRP, al transponer la DOEI, dedica el art. 193 a la utilización de los datospersonales obtenidos en la ejecución de una OEI en otro Estado miembro, esto significaría que Españaocuparía la posición de Estado de emisión. Dispone el precepto que los datos que se obtengan comoconsecuencia de la ejecución de una OEI sólo podrán ser empleados en los procesos en los que se hu-biera acordado la resolución. Hasta este punto parece acertado el precepto, pues, lo que viene a decires que los datos obtenidos sólo podrán utilizarse en el marco del proceso para el que se emitió laOEI. Pero el precepto no finaliza aquí, continúa el mismo, con un marcado carácter de imprecisión,disponiendo que los datos obtenidos podrán ser empleados en aquellos otros relacionados de maneradirecta con aquél o excepcionalmente para prevenir una amenaza inmediata y grave para la seguridadpública. Esto viene a suponer el establecimiento de dos excepciones al principio de especialidad, quevienen a proclamar que la medida de investigación que se adopte sea para un delito concreto, finalidadque resulta mermada con el establecimiento de estas excepciones. Dicho sea de paso, el principio deespecialidad no queda expresamente regulado ni en la DOEI ni en la LRMRP.

A.- Dicho esto, ¿qué debemos entender por “amenaza grave e inmediata”?.

Esta excepción al principio de especialidad, también queda recogida en la Directiva 2016/680/ UE.Así, pues, se contempla la posibilidad de transmisión de datos personales a otro Estado miembro o aun tercer país, a los fines establecidos en el apdo.1 del art.1, sin necesidad de autorización previa enel supuesto de amenaza inmediata y grave para la seguridad pública – art. 35.2 de la Directiva2016/680/UE–. Y, además, amparados en esta “amenaza” el art. 13 de la Directiva 2016/680/UE esta-blece una restricción para los derechos de investigados y/o acusados, pues contempla la posibilidadde limitar el derecho de acceso, información, supresión y rectificación sin fijar plazo máximo de li-mitación de dichos derechos, todo ello, en aras de proteger la seguridad pública y nacional. Por tanto,establecer una excepción al principio de especialidad bajo la máxima de la “amenaza inmediata ygrave para la seguridad pública”, contemplando la posibilidad de limitar los derechos mencionados,tiene el riesgo que esas limitaciones se perpetúen en el tiempo, lo cual no parece muy coherente conel respeto a los derechos y garantías de investigados y/o acusados.

B.- Y con respecto a la otra excepción ¿qué debemos entender por otro proceso relacionado de maneradirecta con aquél en el que se adoptó la OEI?

En este punto, resulta necesario traer a colación el supuesto de hallazgo o descubrimiento casual, elcual ha sido tratado por la jurisprudencia, así como recogido en la LECRIM en sus arts. 579 bis y 588bis i). Esto supone, el hallazgo de nuevos elementos probatorios, relacionados con otro delito o persona


distinta, en el seno de una investigación de un delito concreto. No obstante, consideramos que el efectodel hallazgo casual puede extenderse a un delito conexo, pues, no tenemos que contemplar sólo el su-puesto de un proceso independiente.

La LECRIM en la regulación de las medidas tecnológicas, contempla en su art. 588 bis i) la posibilidadde utilización de esos descubrimientos casuales, si bien resulta necesario tener presente que para laincorporación de esos descubrimientos o hallazgos a ese “otro proceso” se debe, en todo caso, respetarlos principios del art. 588 bis a) de la LECRIM – excepcionalidad, necesidad, proporcionalidad, etc.,de la medida–. Este control que debe ejercerse en este “otro proceso relacionado de manera directa”obedece al filtro de comprobación de legitimación de la injerencia en los derechos fundamentales –en este caso, en el art. 18 CE–60.

Por tanto, podemos afirmar que los datos personales obtenidos en el marco de una OEI – emitida porEspaña– podrán ser utilizados en otro proceso, siendo necesario en ese segundo proceso que la propiaautoridad judicial realice un control sobre la sujeción a los principios del art. 588 bis a) LECRIM, apesar que el art. 193 LRMRP no hace mención a ello.

Una cosa es la utilización de esos datos en otra causa penal, como excepción al principio de especia-lidad –como se establece en el apdo. 2 del art. 4 de la Directiva 2016/680/UE– y, otra muy diferente,es abrir la puerta a la limitación de derechos bajo la premisa de la amenaza grave e inminente para laseguridad pública, pues nos movemos, una vez más, entre el derecho de protección de datos personalesy en la protección de la seguridad pública.

C.- Otra cuestión que surge es la posibilidad de utilizar los datos recabados en el marco de una inves-tigación penal –a través de una OEI– “con otros fines”, debiendo recabarse el consentimiento de laautoridad del Estado de ejecución o del titular de los datos. Significa ello, que ¿podríamos utilizar losdatos para un proceso administrativo, por ejemplo?. La imprecisión del legislador puede generar dudasa futuro, pues, la frase “otros fines” puede dar cabida a multitud de situaciones en las que pueda uti-lizarse los datos personales obtenidos amparados en el precepto. Y además, contempla la posibilidadque el titular de los datos consienta para darle otra utilidad a esos datos, sin legitimación para valorarsi concurre los supuestos de necesidad y proporcionalidad, resulta, a todas luces, incoherente con elprincipio de especialidad.

Si nos remitimos a la Directiva 2016/680/UE, el art. 4.2 habilita la utilización de los datos personalespara otro fin distinto de aquél para el que se recogieron los datos personales, permitiéndose el trata-miento por el mismo responsable o por otro para los fines establecidos en el apdo.1 del art.1. De lalectura del apdo.1 del art. 1 de la Directiva 2016/680/UE podemos afirmar que los fines para los quepueden utilizarse los datos obtenidos son la prevención, investigación, detección o enjuiciamiento,por tanto, no se contempla el uso de esos datos en un proceso administrativo.

A mayor abundamiento, y en clara referencia a los procedimientos en los que puede emitirse una OEI–art.186.2 de la LRMRP y 4 de la DOEI– podrán ser objeto en procedimientos administrativos quepuedan dar lugar a un procedimiento penal, supuesto que no es posible en el caso de España, por tanto,esto viene a reforzar la respuesta a la pregunta formulada ut supra, no siendo posible utilizar los datosobtenidos en un procedimiento administrativo.


GONZÁLEZ CANO, María Isabel, «Garantías del investigado y acusado en orden a la obtención, cesión y tratamiento60.de datos personales en el proceso penal. A propósit o de la Directiva (UE) 2016/680 y su impacto en materia de pruebapenal» en VVAA (Dir. GONZÁLEZ CANO, María Isabel) Orden Europea de Investigación y prueba transfronterizaen la Unión Europea, Tirant lo Blanch, Valencia, 2019, págs. 99 y ss (en prensa).

IV.- REFLEXIÓN FINAL

La era digital ha supuesto un flujo de datos personales que muchas veces el propio titular de los mismosdesconoce el tratamiento que se le va a dar a sus datos personales.

Antes de la entrada en vigor del RGPD, en determinadas ocasiones se vulneraba la legislación porparte de las entidades que almacenaban los datos. Actualmente, parece que se abren nuevos horizontespara el derecho a la protección de datos de carácter personal. Con la entrada en vigor del RGPD sehan reforzado los derechos del interesado, ampliándose el elenco de derechos, en aras de fortalecer elcontrol por parte del interesados de sus datos personales.

En el ámbito de la prevención, investigación y enjuiciamiento, en cuanto a la protección de los datospersonales, se ha avanzado significativamente, respecto al instrumento predecesor DM 2008/977/JAI,con la promulgación de la Directiva 2016/680/UE. Consideramos necesario que la mencionada Di-rectiva sea objeto de implementación en el ordenamiento jurídico español, pues si bien es cierto queel investigado y/o acusado tiene reconocidos sus derechos procesales, entendemos que los derechoscontemplados en la Directiva 2016/680/UE operan de forma complementaria a los derechos y garantíasprocesales, pues no estaría de más que en el marco del proceso penal el investigado y/o acusado co-nozca los derechos que le amparan con respecto a sus datos personales, como son la posibilidad derectificarlos, suprimirlos, plantear una reclamación ante la autoridad de control, etc.

Por otro lado, incidencia directa con el intercambio de datos y la salvaguarda del derecho de protecciónde datos personales va a tener la DOEI –y la LRMRP–. En referencia a la transposición que hace ellegislador español, se suscitan dudas respecto al fin que que puedan darse a los datos obtenidos através de la ejecución de una OEI en otro Estado miembro diferente al Estado español. Por un lado,el legislador español contempla la posibilidad que los datos recabados en el Estado de ejecución –di-ferente al español– puedan utilizarse de manera directa en otro proceso o, bien, para prevenir una ame-naza grave e inminente para la seguridad pública. En ambos casos, suponen una excepción al principiode especialidad, excepciones que no habrán de aplicarse sin control alguno. En el supuesto que losdatos se utilicen en un proceso distinto, nos movemos en el campo del hallazgo casual, supuesto queno impide que en el marco de una investigación de un delito concreto se obvie aquellos indicios dedelito que se presentan casualmente y que son diferentes a la investigación objeto de la medida adop-tada. En particular, en referencia a los datos obtenidos en el Estado de ejecución, entendemos que po-drían utilizarse en otro proceso distinto siempre que se cumpla, para su incorporación, el doble controlde legitimidad –esto es, con sujeción a los principios rectores del art. 588 bis a). En la otra excepciónprevista, para el caso de amenaza grave e inminente –por ejemplo, casos de terrorismo– la Directiva2016/680/UE, prevé la transmisión de datos personales a otros Estados miembros o terceros paísessin sometimiento a autorización previa. Si bien, en el presente supuesto resulta llamativo el hecho quese puedan limitar los derechos de investigados y/o acusados–acceso, información, supresión, recti-ficación–, sin que la misma contemple un cauce para controlar la proporcionalidad, pues se puedehacer una limitación sine die.

Además, el art. 193.1 establece la posibilidad de utilización de estos datos “con otros fines”. Al res-pecto, debemos afirmar que ni la Directiva 2016/680/UE ni el propio art. 186.2 de la LRMRP con-templan la posibilidad de utilizar esos datos en un procedimiento distinto del penal, esto es, porejemplo, en un procedimiento administrativo.

Ahora bien, amparados en la prevención y persecución de delitos, ¿significa esto que los ciudadanosestamos cediendo nuestros derechos fundamentales a favor de la seguridad nacional?. Aquí se planteael difícil equilibrio entre la seguridad y los derechos fundamentales, cuestión que no tiene una fácil


respuesta, si bien debe buscarse una ponderación adecuada61. Fundamental va a resultar el principiode disponibilidad en el marco de la cooperación judicial penal a efectos represivos, pero el intercambiode datos personales no debe amparar cualquier actuación que se extralimite del principio de especia-lidad, de lo contrario, los datos personales estarán a merced de cualquier investigación genérica dedelitos.


Resumen del Dictamen del SEPD, de 7 de marzo de 2012 sobre el paquete legislativo de reforma de la protec- ción61.de datos, DOUE C 192, de 30 de junio de 2012. Subraya el SEPD que “todo desvío de las normas generales de pro-tección de datos debería quedar debidamente justificado por una ponderación equilibrada entre el interés público deaplicación de las leyes y los derechos fundamentales de los ciudadanos”.

BIBLIOGRAFÍA

APARICIO SALOM, Javier, «Derechos del interesado (Arts. 12-19 RGPD. Arts.11-16 LOPDGDD)» en•VVAA (coord. LÓPEZ CALVO, José) La adaptación al nuevo marco de protección de datos tras el RGPDy la LOPDGDD, Wolters Kluwer, Madrid, 2019.

DE HOYOS SANCHO, Montserrat, «Profundización en la cooperación transfronteriza en la Unión Europea:•obtención, registro e intercambio de perfiles de ADN de sospechosos», en VVAA (Dir. ARANGÜENA FA-NEGO, Coral) Espacio europeo de libertad, seguridad y justicia: últimos avances en cooperación judicialpenal, Lex Nova, Valladolid, 2010.

GALÁN MUÑOZ, Alfonso, «La protección de datos de carácter personal en los tratamientos destinados a•la prevención, investigación y represión de delitos: hacia una nueva orientación de la política criminal dela Unión Europea» en AAVV (Dir. COLOMER HERNÁNDEZ, Ignacio) La transmisión de datos perso-nales en el seno de la cooperación judicial penal y policial en la Unión Europea”, Aranzadi, Cizur Menor,2015.

GALÁN MUÑOZ, Alfonso, «Los nuevos instrumentos de prevención y lucha contra el nuevo terrorismo:•malas noticias para la intimidad y otros derechos fundamentales» en VVAA (Dir. COLOMER HERNÁN-DEZ, Ignacio) Cesión de Datos Personales y Evidencias entre Procesos Penales y Procedimientos Admi-nistrativos Sancionadores o Tributarios, Aranzadi, Cizur Menor, 2017.

GÓMEZ COLOMER, Juan Luis y PLANCHADELL GARGALLO, Andrea, «Prueba prohibida», VVAA•(dir. por GONZÁLEZ CANO, María Isabel), La prueba. Tomo II. La prueba en el proceso penal, Tirant loBlanch, Valencia, 2017.

GONZÁLEZ CANO, María Isabel, «Cesión y tratamiento de datos personales, principio de disponibilidad•y cooperación judicial penal en la Unión Europea», en VVAA (Dir. COLOMER HERNÁNDEZ, Ignacio)Cesión de Datos Personales y Evidencias entre Procesos Penales y Procedimientos Administrativos San-cionadores o Tributarios, Aranzadi, Cizur Menor, 2017.

«Garantías del investigado y acusado en orden a la obtención, cesión y tratamiento de datos personales-

en el proceso penal. A propósito de la Directiva (UE) 2016/680 y su impacto en materia de prueba penal»en VVAA (Dir. GONZÁLEZ CANO, María Isabel) Orden Europea de Investigación y prueba transfron-teriza en la Unión Europea, Tirant lo Blanch, Valencia, 2019, págs. 99 y ss (en prensa).

«Reflexiones sobre libre circulación de datos personales y principio de disponibilidad en el ámbito de la-

cooperación judicial penal en la Unión Europea» en VVAA (coord. CACHÓN CARDENAS, Manuel yFRANCO ARIAS, Just) Derecho y Proceso. Liber Amicorum del Profesor Francisco Ramos Méndez,Atelier, Barcelona, 2018, Vol. II, págs. 1073 y ss.

GUTIÉRREZ ZARZA, Ángeles, «La protección de las personas físicas en lo que respecta a su derecho a•la intimidad y los datos personales por las autoridades de emisión y ejecución de las órdenes europeas deinvestigación» en VVAA (Dir. ARANGÜENA FANEGO, Coral y DE HOYOS SANCHO, Montserrat) Ga-rantías procesales de investigados y acusados. Situación actual en el ámbito de la Unión Europea, Tirantlo Blanch, Valencia, 2017.

MARTÍNEZ PÉREZ, Fernando y POZA CISNEROS, María, «El principio de disponibilidad: antecedentes•penales y convenio de Prüm» en VVAA (Dir. CARMONA RUANO, Miguel, GONZÁLEZ VEGA, Ignacio.U, MORENO CATENA, Víctor) Cooperación Judicial Penal en Europa, Madrid, Dykinson, 2013.

MUÑOZ RODRÍGUEZ, Joaquín, «Disposiciones generales. Título I (Arts. 1-5 RGPD. Arts. 1-3•LOPDGDD)» en VVAA (coord. LÓPEZ CALVO, José) La adaptación al nuevo marco de protección dedatos tras el RGPD y la LOPDGDD, Wolters Kluwer, Madrid, 2019.

PILLADO GONZÁLEZ, Esther, «Difícil equilibrio entre seguridad y salvaguarda del derecho a la protec-•ción de datos personales en la prevención, investigación y represión de delitos en la Unión Europea» enVVAA (Dir. GONZÁLEZ CANO, María Isabel) Integración europea y justicia penal, Tirant lo Blanch, Va-lencia, 2018.


PLAZA PENADÉS, Javier, «El nuevo marco normativo de la protección de datos», en Diario La Ley, Sec-•ción Actualidad Civil, nº 5, mayo de 2018, Editorial Wolters Kluwer.

PUYOL MONTERO, Javier, «Transparencia de la información y derecho de acceso de los interesados» en•VVAA (Dir. RALLO LOMBARTE, Artemi) Tratado de protección de datos: actualizado con la Ley Orgá-nica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, Ti-

rant lo Blanch, Valencia, 2019.

ÁPENDICE NORMATIVO

Convenio nº 185, del Consejo de Europa, de 23 de noviembre de 2001, sobre Ciberdelincuencia. BOE 17•de septiembre de 2010.

Decisión 2008/615/JAI del Consejo, de 23 de junio de 2008, sobre la profundización de la cooperación•transfronteriza, en particular en materia de lucha contra el terrorismo y la delincuencia transfronteriza.DOUE L 210, de 6 de agosto de 2008.

Decisión Marco 2006/960/JAI del Consejo, de 18 de diciembre de 2006, sobre la simplificación del inter-•cambio de información e inteligencia entre los servicios de seguridad de los Estados miembros de la UniónEuropea. DOUE L 386, de 29 de diciembre de 2006.

Decisión Marco 2008/977/JAI, protección de datos personales tratados en el contexto de la cooperación•policial y judicial en materia penal. DOUE L 350/60, de 30 de diciembre de 2008.

Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protec-•ción de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación deestos datos. DOUE L 281, de 23 de noviembre de 1995.

Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento•de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas.DOUE L201/37, de 31 de julio de 2002.

Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006 , sobre la conserva-•ción de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicasde acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE.DOUE L105/54, de 13 de abril de 2006.

Directiva 2014/41 (UE) del Parlamento Europeo y del Consejo, de 3 de abril de 2014, relativa a la orden•europea de investigación en materia penal. DOUE 130, de 1 de mayo de 2014.

Directiva (UE) 2016/680, de 27 de abril de 2016, del Parlamento Europeo y del Consejo, sobre protección•de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridadescompetentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales ode ejecución de sanciones penales, y sobre la libre circulación de dichos datos y por la que se deroga la De-cisión Marco 2008/977/JAI del Consejo. DOUE L 119/89, de 4 de mayo de 2016.

Directiva 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización•de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y en-juiciamiento de los delitos de terrorismo y de la delincuencia grave. DOUE L119, de 4 de mayo de 2016.

Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a•las redes públicas de comunicaciones. BOE núm. 251, de 19 de octubre de 2007.

Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea.•BOE núm. 282, de 21 de noviembre de 2014.

Ley Orgánica 10/2007, de 8 de octubre, reguladora de la base de datos policial sobre identificadores obte-•nidos a partir del ADN. BOE núm. 242, de 9 de octubre de 2007.

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos di-•gitales. BOE núm. 294, de 6 de diciembre de 2018.


Reglamento (CE) n° 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo•a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las institu-ciones y los organismos comunitarios y a la libre circulación de estos datos. DOUE L008, de 12 de enerode 2001.

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la•protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulaciónde estos datos y por el que se deroga la Directiva 95/46/ CE. DOUE L 119/88, de 4 de mayo de 2016.

JURISPRUDENCIA

TJUE, Gran Sala, Sentencia de 8 de abril de 2014, asuntos C-293/12 y C-594/12 (Digital Rights Ireland•Ltd; Kärntner Landesregierung)

TJUE, Gran Sala, Sentencia de 21 de diciembre de 2016, asunto C203/15 y 698/15 (Tele2 Sverige AB y•Post- och telestyrelsen; Secretary of State for the Home Department y Tom Watson y otros).

TJUE, Gran Sala, Sentencia de 2 de octubre de 2018, asunto C-207/16 (AP Tarragona).•


DATOS Y TECNOLOGÍAS GDPR:

DIFERENTES IDIOSINCRASIAS, SIMILARES OBJETIVOS Y VALORES

DATA AND TECHNOLOGIES GDPR:

DIFFERENT IDIOSYNCRASIES, SIMILAR OBJECTIVES AND VALUES

Dra. Laura Nahabetián Brunet1




ISSN 2530-4496 – AÑO 1, N° 6, 2019, PÁGS. 75-98

Facultad de Derecho – Universidad Mayor de la República Oriental del Uruguay1.

PALABRAS CLAVE:

Protección de datos – tecnologías – derechos – garantías fundamentales – institucionalidad democrá-tica.

KEY WORDS:

Data protection - technologies - rights - fundamental guarantees - democratic institutionality

RESUMEN:

La protección de datos personales se presenta como un elemento sustantivo en la consideración delos diferentes sistemas jurídico-políticos, con eje en la defensa de las libertades individuales y porende en la dignidad de la persona humana, en tanto fundamento de las políticas públicas.

En este sentido, las diferentes tecnologías que emergen a diario son un reto y un desafío para el man-tenimiento, defensa y protección de los derechos de las personas, en tanto centro y fundamento detodo el quehacer socio-gubernamental.

La aparición del Reglamento General Europeo de Protección de Datos, que se ha impuesto como elnuevo estándar internacional en la materia, es un documento de imprescindible consideración en tantonormatividad que representa, reconoce y promueve lo antedicho.

Desde Uruguay y desde otras latitudes también, ha sido considerado y lo seguirá siendo en el futurocomo una referencia ineludible. Ahora bien, esto no se debe, desde el análisis que aquí se sustenta entrasladar las decisiones de política de la Unión Europea a las diferentes idiosincrasias locales externasa ésta, sino a una visión compartida basada en valores y visiones que son comunes.

SUMMARY:

Personal data protection is presented as a substantive element in the consideration of the differentlegal-political systems, with an emphasis in the defense of individual liberties and therefore in thedignity of the human person, as a foundation of public policies.

In this sense, the different technologies that emerge daily are a challenge for the maintenance, defenseand protection of people's right, being the persona the center and foundation of the whole socio-gov-ernmental activity.

The emergence of the European General Data Protection Regulation, which has been imposed as thenew international standard in the matter, is a document of essential consideration as a standard thatrepresent, recognize and promote the foregoing.

From Uruguay and from other latitudes as well, it has been considered and will continue to be in thefuture as an inescapable reference. However, this is not based on transferring the policy decisions ofthe European Union to the different local idiosyncrasies external to it, but to a shared vision based onvalues and visions that are common.

1. INTRODUCCIÓN Y CONTEXTO

Uruguay es un país que no posee grandes riquezas naturales, pero sí un orgullo sustantivo por sus con-vicciones democráticas, una historia de respeto a la institucionalidad democrática y a las libertadesindividuales que lo han caracterizado a través de sus dos siglos de existencia independiente.

Verifica además, una opción de institucionalidad basada en el modelo continental.

Tradicionalmente ha hecho culto de la libertad y propone y avanza en disposiciones que reconocen lalibertad y la dignidad humanas.

DATOS Y TECNOLOGÍAS GDPR: DIFERENTES IDIOSINCRASIAS, SIMILARES OBJETIVOS Y VALORES

Y esto puede indicarse se concreta también en materia de Protección de Datos Personales.

De hecho, no solo Uruguay avanza en ese sentido.

El Reglamento General de Protección de Datos de alguna manera ha sido una evolución que ha im-plicado alguna suerte de revolución en varios aspectos, para Europa y para el mundo.

También en América Latina ha habido una evolución que está marcada por la inclusión de disposicio-nes normativas que verifican – en general – un patrón común que es indudablemente el derecho con-tinental y que particularmente en esta materia, en este momento, está sindicado por el GDPR1.

Y la línea de consideración de los conceptos generales, los principios, los derechos, y los mecanismosde protección y garantía, vienen siendo los que están en él pautados.

¿Es entonces la normatividad latinoamericana una copia de la europea?

Muy por el contrario, los avances normativos, surgen de compartir los lineamientos que el GDPR es-tablece.

Al igual que en otros ámbitos lo importante es ser capaces de ubicar los puntos en común hacia con-verger en el mismo lugar. Se tienen idiosincrasias diferentes pero se comparte el mismo objetivo, cuales la defensa de la persona, de su dignidad y de su libertad.

No se trata de replicar el GDPR sino de tener disposiciones normativas que generen estándares deprotección comunes.

Uruguay tiene ley de protección de datos desde 2008 y por tanto, ya verifica algunos avances en con-sideración de la Directiva 95/46, analizando sus fechas de aprobación.

Es un país que verifica estatus de adecuación.

Y es un país que ha ratificado el Convenio N° 108 y firmado el Convenio N° 108 +.

Además desde la Red Iberoamericana de Protección de Datos se han creado los Estándares Iberoame-ricanos de Protección de Datos2, que tienen un vínculo muy cierto con el GDPR.

Por lo tanto, se entiende que la pregunta acertada debería ser, a qué se debe esta cercanía, cuáles sonlos fundamentos, qué se considera que existe por detrás de todo esto, sobre todo, además, en el contextodigital en que se maneja la cotidianidad en este siglo XXI.

2. LA PERSONA: ¿EXISTE LA PERSONA DIGITAL?

La conceptualización de la persona humana surge inevitablemente unida al ámbito religioso cristiano,sin perjuicio de tratarse de una noción de carácter filosófico.

En este sentido, varios autores como San Agustín, San Anselmo, San Alberto Magno entre otros y es-pecialmente Santo Tomás desarrollaron la temática de la persona humana haciendo hincapié en ele-mentos que la determinan, tal el caso de su carácter singular, su racionalidad y su eminente dignidad.

SANTO TOMÁS parte de considerar que la persona es lo más singular, individual y por tanto nocomún en cada individuo, es decir que la individualidad que la caracteriza es única e intransmitible,en tanto no responde a la naturaleza humana sino que es propia y particular de cada persona. Indicabaque “el hombre engendra seres iguales a sí específicamente, pero no numéricamente. Por tanto, lasnotas que pertenecen a un individuo en cuanto singular, como los aetas personales y las casas que leson propias, no se transmiten de los padres a los hijos. No hay gramático que engendre hijos cono-cedores de la gramática que él aprendió. En cambio, los elementos que pertenecen a la naturaleza,

1 Reglamento General Europeo de Protección de Datos.

2 RED IBEROAMERICANA DE PROTECCIÓN DE DATOS. Estándares de Protección de Datos Personales para los Estados Ibe-roamericanos. Disponible en:

http://www.redipd.es/documentacion/common/Estandares_Esp_Con_logo_RIPD.pdf

Laura Nahabetián Brunet

pasan de los padres a los hijos, a no ser que la naturaleza esté defectuosa. Por ejemplo, el hombre debuena vista no engendra hijos ciegos si no es por defecto especial de la naturaleza. Y si la naturalezaes fuerte, incluso se comunican a los hijos algunos accidentes individuales que pertenecen a la dis-posición de la naturaleza, como son la velocidad de cuerpo, agudeza de ingenio y otros semejantes.Pero no las cosas puramente personales”3.

Así se comprende que la persona y el individuo no son sinónimos, ya que es imprescindible la deter-minación de la individualidad.

SANTO TOMÁS afirma que la persona identifica al ser, esto es, la individualidad particular de cadaindividuo, es decir, que significa al ser propio, personal e individual indicando que la persona es “elsubsistente distinto en naturaleza racional”4.

Lo que en definitiva diferencia a la persona del individuo tiene relación con la propia esencia. En mé-rito a ello es que la persona existe en sí misma y por si misma de forma independiente; considera portanto que la persona perdura, permanece dados sus caracteres especialísimos, permanentes e invariablesque constituyen su propia naturaleza.

MARITAIN, determina que las características fundamentales están dadas por la racionalidad y la li-bertad.

Indudablemente estas palabras no fueron un invento de MARITAIN, sino que su mérito está en su reconceptualización, a partir de la consideración de los significados que deben atribuirse a la individua-lidad y a la personalidad.

A lo que GARRIGOU LAGRANGE agrega que lo que caracteriza, pues a la persona, a los ojos delsentido común, es, por cierto, la libertad, el dominio de sí; pero la libertad, según este mismo sentidocomún, supone la inteligencia que delibera y la conciencia de sí; y la conciencia del “yo”, a su vez,supone, precisamente, el “yo”, el cual, para hablar con propiedad, es la persona.

Toda la persona con su ser integral y con todas sus facultades, pertenece a la sociedad. Esta no estáordenada a la sociedad política en su totalidad y en todas sus características. Nótese que el motivo porel cual ésta es parte de la sociedad es su individualidad y aquél por el que la persona es un todo sub-sistente y únicamente como un todo puede ser tratado por la sociedad es su personalidad.

Si esto es así, ¿es posible hablar de persona digital? ¿Existe ésta realmente o la referencia es meramentea un aforismo conveniente?

Para quienes defienden la eminente dignidad de la persona humana y su centralidad como valor esen-cial, indudablemente la referencia persona digital es precisamente esto último, un aforismo convenientepara quienes pretenden determinar en el imperativo tecnológico, asociado a la tecnofilia, el centro latoma de decisiones.

Si por persona digital, la pretensión es la consideración de las personas en su vínculo con las tecnolo-gías de la información, no es necesario calificar a la primera por su vínculo con la tecnología, sino re-significar el carácter secundario de ésta, operativamente importante, sustantivamente intrascendente.

3. ¿PORQUÉ PROTECCIÓN DE DATOS EN EL SIGLO XXI?

Como es conocido el fundamento de la protección de datos otorga protección a la dignidad humana,constituyendo un basamento sustancial de la libertad individual. Implica una concreción, en forma in-discutible de los clásicos derechos de la personalidad, cuales son el honor, la intimidad y la propiaimagen.

Los derechos humanos, en especial los derechos humanos de cuarta generación – dado su vínculo con

3 SANTO TOMÁS DE AQUINO, Suma de Teología, I-II, q. 81, a. 2, in c. Disponible en: http://hjg.com.ar/sumat/ (últimoacceso: 20/03/2019).

4 SANTO TOMÁS DE AQUINO, De Potentia, q. 9, a. 4, in c.


la tecnología –, dan acogida a esta protección. No es posible olvidarse de la dimensión ética que poseeel tratamiento de los datos de las personas, ni descuidar su justificación filosófica. Únicamente, cuandotodas las personas tengan asequibles los mecanismos de exigencia frente al cercenamiento de estosderechos, y estos derechos humanos formen parte de la cotidianidad de las personas, cuando de verdadsea posible vivenciar que se han universalizado, recién ahí se podrá hablar de la democratización dela tecnología; sólo a partir de ahí, la tecnología va a garantizar la calidad de vida de todos, sin dife-renciar entre pueblos y personas.

La privacidad es entendida como un elemento fundamental y precedente a la verificación efectiva delos procesos de participación democrática ciudadana en los diferentes países. La inexistencia de limi-taciones en el tratamiento de los datos personales de las personas, determina fuertes riesgos para elejercicio de la libertad personal y hace peligrar la libertad y la seguridad en tanto valores y principiossustanciales del quehacer democrático – republicano.

Por tanto, ésta debe ser considerada en tanto límite imprescindible en la defensa de todas las personas,ya que la comisión de excesos en términos de amplias libertades en la colecta de datos a ser utilizadospor terceros podría devenir en una flagrante violación a un cúmulo de derechos humanos.

4. DATOS Y TECNOLOGÍAS

Diariamente se recogen cantidades de información personal que, además, va en aumento, la que esprocesada en cada vez más opacas y complejas formas.

A partir del despliegue progresivo de las empresas y las entidades públicas en los años ochenta seconsidera se ha iniciado un proceso en que se percibe que sus prácticas en el procesamiento de datos,en general, implica la reducción de los derechos de las personas, en tanto, les confiere un papel demeros “sujetos de datos”, siendo sus derechos amenazados y sus libertades comprometidas.

La diferencia entre esos tiempos y los de hoy, con la actual ola de información y comunicación inte-gradas a la tecnología, es su ubicuidad y poder de expansión; de hecho en el año 2008, los informestecnológicos indicaron que había más dispositivos conectados en el planeta que personas5.

El incremento de la capacidad de los procesadores6 –según se ha señalado el número de transistoresque se pueden poner en un microchip se duplica aproximadamente cada 18 meses –, el almacenamientoy el ancho de banda de transmisión progresivamente van verificando menos restricciones técnicas enel procesamiento de la información personal.

Así es que hoy día están convergiendo con escasas restricciones, internet de las cosas, las grandesbases de datos analíticos, la inteligencia artificial, los mecanismos de procesamiento del lenguaje ylos sistemas biométricos, entre otras tecnologías, a los efectos de la potenciación de las aplicacionesde manera de obtener mecanismos para el aprendizaje de máquinas que cuentan con inteligencia avan-zada.

Los gobiernos y las empresas son capaces de ir más allá de la “data mining”7 y de la “reality mining”8,que penetra la experiencia cotidiana y avanza aceleradamente.

5 CISCO ANNUAL REPORT 2008, The Human Network Effect. Disponible en:

http://www.cisco.com/c/dam/en_us/about/ac49/ac20/downloads/annualreport/ar2008/pdf/cisco_ar2008_complete.pdf(último acceso: 18/02/2019).

6 MOORE, Gordon, “Cramming more components onto integrated circuits”, Electronics, en Proceedings of the IEEF,Nº 1, Volumen 86 Enero 1998. Disponible en: http://www.cs.utexas.edu/~fussell/courses/cs352h/papers/moore.pdf(último acceso: 18/02/2019).

7 Es el proceso informático – conocido como minería de datos – que implica descubrir patrones en grandes conjuntosde datos que involucran métodos en la intersección de la inteligencia artificial, el aprendizaje automático, las estadís-ticas y los sistemas de bases de datos.

8 Implica la recolección y el análisis de datos ambientales sensibles a las máquinas pertenecientes al comportamientosocial humano, con el objetivo de identificar patrones predecibles de comportamiento.


Big Data, conjuntamente con el internet de las cosas y la computación en la nube pueden ser unafuente de valor sustantivo para el desarrollo de la innovación en la sociedad, en la medida que su pre-tensión es la mejora de la productividad, el desempeño óptimo de los diferentes sectores sociales y laparticipación social.

Estas tendencias y muchos de los conceptos utilizados hoy día, a pesar de su habitualidad, son vagosy superpuestos, por lo que es sustantivo clarificar conceptos, contextos y fundamentalmente las cues-tiones éticas y prácticas fundamentales para la aplicación de los principios de protección de datos.

Multiplicidad de ejemplos podrían citarse a estos efectos.

Sin embargo, se han elegido escasamente cinco, solo a efectos referenciales, pero a los efectos deponer un anclaje en las situaciones que a partir de la nueva normatividad de protección de datos, elmundo jurídico y ético, debe organizar la toma de sus decisiones vinculadas con la tecnología.

Sin lugar a dudas, internet ha sido y seguirá siendo una de las creaciones más importantes y poderosasde toda la historia de la humanidad. Ahora bien, y en ese sentido, se debe tener en cuenta que porejemplo, internet de las cosas implica una primera evolución de Internet, y por tanto, es un gigantescosalto en su capacidad para unir, analizar y distribuir datos que es posible convertir en información,conocimiento y, al final de todo, en sabiduría.

Internet de las cosas es simple, sencilla e increíblemente el momento único e irrepetible en el tiempoen el que se conectaron a internet más “cosas u objetos” que personas.

El concepto de internet de las cosas refiere a una infraestructura de billones de sensores embebidosen dispositivos comunes – "cosas" en sí mismas, u objetos en relación a otros objetos o personas –que están diseñados para registrar, procesar, almacenar y transferir datos y, a medida que se asociancon identificadores únicos, interactúan con otros dispositivos o sistemas que utilizan las capacidadesde red.

Muchos dispositivos conectados a Internet ya son extremadamente comunes, como teléfonos inteli-gentes, tablets y máquinas para entregar dinero en efectivo, para los check in aéreos, entre otros. Paralos próximos años, se prevé que la conectividad se convertirá en una característica estándar con mul-tiplicidad de objetos conectados que van desde la telemedicina a los vehículos, desde los contadoresinteligentes a toda una serie de nuevos dispositivos de carácter estacionario y móvil que facilitará laconcreción de ciudades inteligentes.

Estos sensores proporcionarán información inmediata y detallada sobre las oficinas que las encuestasno pueden alcanzar hoy, pero que no necesariamente son más exactas y potencialmente engañosas.

La estimación de 1,8 mil millones de conexiones de máquina a máquina automotriz en 2022, podríareducir los accidentes y la contaminación, aumentar la productividad y la autonomía de adultos ma-yores y personas con discapacidad9.

Los wearables10, como la ropa y los relojes, al igual que otros dispositivos conectados podrán detectarcoágulos sanguíneos y monitorear el estado físico y la cicatrización de heridas, tejidos conectados ypodrían proteger contra dificultades de carácter ambiental, en la lucha contra incendios, entre otrosusos.

Estos dispositivos pueden cargar datos personales directamente en la nube, vincularlos a las redes so-ciales y potencialmente difundirlos públicamente, con identificación de los usuarios y haciendo unseguimiento del comportamiento y movimientos de las personas y las multitudes.

9 VAN WOENSEL, Lieve y ARCHER, Geoff, Ten technologies which could change our lives: potential impacts and policyimplications, European Parliamentary Research Service, Enero, 2015. Disponible en:http://www.europarl.europa.eu/EPRS/EPRS_IDAN_527417_ten_trends_to_change_your_life.pdf (último acceso:20/03/2019).

10 Son dispositivos electrónicos inteligentes (dispositivo electrónico con microcontroladores) que se pueden usar en elcuerpo como implante o accesorios.


Y esta información puede afectar la privacidad no sólo de los usuarios de los dispositivos en el lugarde trabajo, sino también los derechos de los demás que son observados y grabados por el dispositivo.Si bien hay poca evidencia de discriminación real, está claro que, el enorme volumen de informaciónpersonal recopilado por internet de las cosas, es de gran interés en tanto se trata de un medio para ma-ximizar los ingresos a través de precios más personalizados según el trackeo11 de los comportamientosrealizado.

En la medida que internet de las cosas tiene su basamento en el principio del tratamiento extensivo dedatos a través de estos sensores que además, están diseñados para que discretamente se puedan comu-nicar e intercambiar datos de manera transparente, hay un vínculo estrecho con los conceptos de pe-netración y ubicuidad que maneja la informática.

Internet de las cosas congrega alrededor de un objetivo común a personas, procesos, datos y cosas, alos efectos de conectarlos en red con la finalidad de hacer la red más relevante y valiosa. De esta formase convierte a la información de tal forma que se verifica la posibilidad de nuevas acciones que creannovedosas y distintas capacidades y experiencias que generan nuevas oportunidades económicas sinprecedentes para las empresas, las personas y los países.

De todas formas, es imprescindible considerar la necesidad de resolución en términos satisfactoriosde algunos temas pendientes por un lado y derechos por otro, tales como la privacidad, la seguridad,el consumo de energía y la congestión de la red.

Las cosas conectadas ya no son un mero mecanismo de trasferencia de datos en bruto, sino que éstastendrán la capacidad de enviar información de alto nivel y conocimientos a otras máquinas, equiposy personas en tiempo real para su posterior evaluación y así facilitar la toma de decisiones.

La red inteligente implica todo y a todos, siendo tal vez el único lugar donde se puede avanzar en laconstrucción de inteligencia escalable y necesaria para el conocimiento y la utilización de esta nuevaola de “datos en movimiento”. Esta transformación es posible, ya que se permite de una forma rápidae inteligente, la toma de decisiones tanto en beneficio de las personas como de las máquinas y la re-alización de contralores más efectivos.

Por tanto un destaque fundamental que debe realizarse refiere a que a pesar que los objetos recopilenpiezas aisladas de información de diferentes fuentes, su análisis conjunto puede revelar patrones de lavida de las personas.

A la luz de lo anterior, es indudable que el desarrollo de internet de las cosas evidencia una problemá-tica sustantiva para el tratamiento de los datos de carácter personal.

De hecho, en caso que estos desarrollos no sean controlados o adecuadamente reglamentados, algunospodrían generar mecanismos de vigilancia de las personas, lo que indudablemente implicaría vulne-raciones importantes a las disposiciones normativas vigentes en los diferentes países del mundo.

En el mismo sentido se plantea el denominado Big Data en tanto representa un nuevo paradigma re-lacionado con la forma en que se recopila, se combina y se analiza la información.

Es decir que, big data refiere al crecimiento exponencial tanto en la disponibilidad como en el usoautomatizado de información. Implica gigantescos conjuntos de datos digitales de empresas, gobiernosy otras organizaciones que luego se analizan ampliamente utilizando las tecnologías y algoritmos.

El Informe Podestá de la Casa Blanca describió en 2014 al big data como la creciente capacidad tec-nológica para capturar, agregar y procesar grandes volúmenes de datos con velocidad y variedad12.

Es decir que se trata de la práctica de combinar enormes volúmenes de información diversa, y anali-

11 Trackear implica seguir puntualmente los movimientos de un objeto, punto o elemento durante cierta trayectoria.

12 THE WHITE HOUSE – Executive office of the President, “Big Data: Seizing opportunities, preserving values”, PodestáReport, Mayo, 2014. Disponible en:https://obamawhitehouse.archives.gov/sites/default/files/docs/big_data_privacy_report_5.1.14_final_print.pdf (últimoacceso: 20/03/2019).


zarla a menudo utilizando algoritmos de auto-aprendizaje para informar las decisiones. Esta Informa-ción no siempre es personal; datos generados por sensores para monitorear fenómenos atmosféricoscomo el clima o la contaminación, o para supervisar aspectos de los procesos de fabricación, no se re-fieren a una persona identificada o identificable.

Los valiosos conocimientos proporcionados por big data cambian la manera en que la sociedad puedeser entendida y organizada.

No todos los datos procesados en contextos de big data implican interacción humana, sin embargo,esto es sustantivo en tanto refiere a los particulares y sus derechos en lo que respecta al tratamientode datos personales.

Además, en la medida que big data permite recopilar y analizar grandes cantidades de datos, identificarpatrones de actitud y predecir comportamientos de grupos y comunidades, se generalizan los riesgosrelacionados con la utilización de datos.

La tecnología avanza y el imperativo tecnológico está lejos de ser el paradigma aquí sustentado. Portanto, es necesario garantizar la protección de la autonomía personal basada en el derecho de la personaa controlar sus datos personales y el tratamiento que de dichos datos se realice.

La naturaleza de este derecho de control, debe abordarse cuidadosamente en el contexto de big data.Ese control implica la conciencia de la utilización de los datos personales y efectividad de la libertadreal de elección. Estas condiciones, notoriamente esenciales, son sustantivas para la protección de losderechos fundamentales y, en particular, el derecho fundamental a la protección de los datos personales,para lo cual deben sustentarse soluciones.

Estas se deben adaptar a las necesidades sociales y tecnológicas, teniendo en cuenta la falta de cono-cimiento por parte de las personas de las complejidades y oscuridades que las aplicaciones de big dataverifican.

Por lo tanto, es imprescindible adoptar posturas vinculadas con el control efectivo no circunscripto almero control individual, sino que por el contrario, se deben adoptar ideas más amplias del controlsobre el uso de los datos, según la evolución del proceso que implica la evaluación de múltiples im-pactos de los riesgos.

Sin embargo, uno de los mayores valores del big data para las empresas y los gobiernos deriva de lasupervisión del comportamiento humano, colectiva e individualmente, y reside en su predicción po-tencial.

Un resultado concreto de su accionar es la aparición de un modelo de negocio para las empresas deInternet con base en el seguimiento en línea de las cosas y las personas a los efectos de optimizar elvalor económico de las transacciones a los proveedores de servicios, no solamente a través de la re-alización de publicidad, sino también en relación con las condiciones y tasas de las pólizas de seguro,préstamos y otras relaciones de carácter contractual.

En el mercado competitivo para la atención de los usuarios, la ignorancia del amplio alcance que estetrackeo puede tener, genera que el big data pase a considerarse sustantivo por varias razones. Por unlado, aun cuando se apliquen técnicas de anonimización de datos personales es cada vez más fácil in-ferir la identidad de las personas, al combinar datos supuestamente "anónimos", con otro conjunto deInformación pública disponible, por ejemplo, en las redes sociales.

La potencia y sofisticación computacional sin precedentes que estos mecanismos generan, crean unaasimetría de poder entre quienes tratan los datos y los que de forma no intencionada o inadvertida lossuministran.

Algunos de los retos más profundos refieren a la forma en que estos grandes sistemas de datos analí-ticos pueden crear una toma de decisiones tan opaca que la autonomía individual se pierde en un con-junto impenetrable de algoritmos.


Cuando se intercambian esos datos especialmente a través de las fronteras y jurisdicciones, la rendiciónde cuentas por el procesamiento de la información se vuelve borrosa y difícil de determinar o hacercumplir, en virtud de la legislación sobre protección de datos y la ausencia de normas internaciona-les.

A partir de lo anterior, es factible sostener que hay una serie de elementos de insustituible considera-ción al momento del tratamiento del tema, con foco en la persona humana.

En efecto, en la medida que una parte sustantiva de las operaciones de big data se efectúa a partir delprocesamiento de datos de personas, se está frente a una situación que entraña dificultades de caráctersocial, jurídico y ético, entre las que figuran fundamentalmente aquellas relacionadas con los derechosde privacidad y protección de datos de las personas.

De ahí que los beneficios que se derivan de un gran análisis de datos, sólo pueden alcanzarse bajo lacondición de que las correspondientes expectativas de privacidad de los usuarios se cumplan adecua-damente y sus derechos de protección de datos sean respetados.

Los marcos jurídicos para la protección de datos vigentes son de aplicación al tratamiento de datosmediante mecanismos de big data en tanto, en general, garantizan un alto nivel de protección de losderechos de las personas, los que por otra parte son irrenunciables.

Múltiples partes interesadas afirman que la aplicación de los principios y derechos de protección dedatos así como las obligaciones de quienes tratan los datos se mantienen y aplican en su totalidad alas operaciones de big data.

Sin embargo, la aplicación de los principios de finalidad, limitación y minimización de los datos sepresentan como preocupaciones de carácter fundamental, en la medida que los responsables de datosdeben recopilar éstos únicamente con fines específicos, explícitos y legítimos; no pueden procesarmás dichos datos de una manera incompatible con esos propósitos. Ellos también deben controlar quelos datos personales sean adecuados, pertinentes y no excesivos en relación con la finalidad para laque son recogidos y posteriormente tratados.

El desarrollo de sistemas de big data requiere del respeto a las reglas y principios de protección dedatos personales en tanto éstos son de aplicación a todos los procesos y operaciones, comenzando porla recogida para garantizar un alto nivel de protección de datos.

De hecho, esto es imprescindible para la creación y el mantenimiento de la confianza que cualquierinteresado necesita para desarrollar un sistema estable que se base en el procesamiento de dichos datos.También es de consideración que el cumplimiento del marco normativo y la inversión en solucionesamigables con la privacidad son esenciales para garantizar una competencia justa y efectiva, entreagentes económicos en los mercados de referencia.

En la misma línea de los dos ejemplos anteriores, puede situarse a la informática ambiental o invisible,también conocida como informática ubicua, en tanto refiere a una tecnología clave subyacente a lascosas.

Implica aquellas soluciones informáticas que no son utilizadas de manera consciente, esto es, un sensorque abre unas puertas habilitando el paso de las personas o una heladera que advierte la ausencia deleche o verduras.

Algunas de sus aplicaciones más obvias son casas inteligentes y oficinas inteligentes compuestas dedispositivos con una sofisticada capacidad de procesamiento de la información, que prometen eficien-cia energética y personas más informadas capaces de influir en su consumo en forma remota.

Informática ubicua remite a la existencia de sistemas que incluyen capacidad de proceso en múltiplesdispositivos que, dado su número y ubicuidad, dejarán de ser considerados computadores.

Es posible que la ubicuidad informática sea asociada a un incremento de la utilización de la voz y lossonidos, en tanto elementos sustantivos para las interfaces con los sistemas, dado la significación ycaracterísticas de estas tecnologías.


En consecuencia, se está produciendo una sustitución de los sistemas de índole gráfico que se basanen tecnologías WIMP13, y que implican una atención directa de carácter visual.

En definitiva, se trata de dispositivos que carecen de la apariencia de objetos de carácter informático,pudiendo tratarse incluso de partes de objetos que se incorporan al entorno cotidiano sin ser excesi-vamente notorios.

Mark WEISER14 ha clasificado los sistemas de informática ubicua en consideración a su aplicaciónde la siguiente forma:

- Dust: son los dispositivos muy pequeños que incluso podrían no tener ningún tipo de salida de ca-rácter visual (sistemas micro-electromecánicos MEMS). Su tamaño es mínimo y variable al punto quepodrían verificar milímetros, micrómetros o nanómetros.

- Skin: se trata de dispositivos que en general se fabrican con dispositivos orgánicos, polímeros con-ductivos o incluso pueden emitir luz. Se utilizan en general, en elementos de carácter decorativo talel caso de cortinas o la propia indumentaria.

- Clay: así se denomina al conjunto de MEMS15 que se combinan para la creación de formas en tresdimensiones.

En estas tecnologías el elemento de sustantiva importancia es que debe quedar claro quién es respon-sable y cuáles son los medios de procesamiento de los datos personales que intervienen en las aplica-ciones informáticas ambientales, no sólo por una cuestión vinculada con la protección de los derechosfundamentales de las personas, sino también para la asignación de las responsabilidades asociadascon la seguridad del sistema.

No menos importantes son los Walled gardens, expresión sajona utilizada para referir en una traducciónliteral a “jardines enrejados” o “jardines amurallados”. Es precisamente esa imagen, – trasladada a latecnología – la que se pretende advertir cuando se hace referencia al fenómeno en relación con el cual,las posibilidades de movilidad y adopción de decisión en determinado espacio de la red, no es posiblede asumir.

En efecto, desde el punto de vista conceptual walled gardens implica un espacio privativo, un conjuntocerrado o exclusivo de servicios de información para los usuarios, lo que contrasta con las opcionesde entregar a los consumidores acceso abierto e irrestricto a las aplicaciones y contenido.

Desde el punto de vista de los dispositivos móviles puede señalarse que los walled gardens fueroncreados para dificultar la navegación libre en éstos, en beneficio de los sitios propios oficiales. Estochoca de manera frontal con las tendencias del mercado hacia el long tail16, en mérito a que la enormevariedad y diversificación de servicios demandados hace imposible la oferta de todos ellos en los por-tales de los operadores y por supuesto impide los contralores acordes. Así, los sitios Web 2.0 funcionanen este momento como aceleradores de la evolución de las operadoras hacia la apertura, al menos par-cial, de sus walled gardens.

Los jardines amurallados se caracterizan por la inexistencia de una URL de la información, por lo que

13 WIMP = Windows, Icons, Menus and Pointing device. Es un acrónimo utilizado para designar al conjunto de ele-mentos que definen la forma de relacionarse las personas con los computadores. Ventanas, íconos, menús, punteroson los elementos más comunes de la caracterización que se entiende es el paradigma más importante de tal interacción.Graninfor, Enciclopedia de informática en línea. Disponible en: http://graninfor.blogspot.com/2011/10/wimp.html(último acceso: 20/03/2019).

14 WEISER, Mark, “The Computer for the 21st Century”, Scientific American Ubicomp Paper after Sci Am editing. Dis-ponible en: https://www.ics.uci.edu/~corps/phaseii/Weiser-Computer21stCentury-SciAm.pdf (último acceso:20/03/2019).

15 Es una tecnología de carácter electrónicanico y micrométrica que además puede ser combinado con sistema nanoe-lectromecánicos y nanotecnología.

16 Refiere a un modelo de negocio que elimina el mito entorno a los modelos tradicionales en los que se considera quelos productos que se deben vender son los que tienen mayor rotación.


sin perjuicio que es viable ingresar desde el navegador a una página de un jardín amurallado y de estaforma acceder a la información que en éste se hospeda, no será posible compartirla con usuarios ex-ternos a la comunidad de pertenencia. Esto significa que la información se encuentra en internet, sinembargo no estará accesible.

Otra característica sustantiva determina la utilización de protocolos privativos limitantes de la uni-versalidad de conexiones entre servidores y entre terminales, esto es, en palabras de BERNERS-LEE:“El sistema de iTunes de Apple, por ejemplo, identifica las canciones y vídeos a través de URLs queestán abiertos. Pero en lugar de "http:” las direcciones comienzan con "iTunes:", que es propietario.Usted puede acceder a un "iTunes:" pero solamente podrá hacerlo mediante el programa de propiedadde Apple “iTunes”.”

Finalmente, las apps y gatgets son pequeños programas que buscan y procesan información a peticiónde un interés determinado y específico del usuario. Esto significa que, ciertamente, existen apps quecorren sobre la web pero también hay apps que no necesitan de la interface web, se conectan en formadirecta con el terminal del usuario con el servidor mediante nuevos programas y protocolos que des-consideran al universal http. Un ejemplo de esto son las aplicaciones privativas de las Ipad o de losIphones.

Ahora bien, es preciso tener presente que la universalidad es fundamental para la difusión de la infor-mación y es en ella donde se verifica la plusvalía económica que podría implicar llegar a millones deusuarios, lo que se realiza a partir de la facilitación del acceso. En efecto, “muchas empresas inviertendinero para desarrollar aplicaciones extraordinarias precisamente porque confían en que la aplica-ción funcionará para cualquier persona, independientemente del hardware, sistema operativo o elproveedor de servicios de Internet (ISP) que están utilizando, todo lo cual es posible por los estándaresabiertos de la Web”17.

Sin embargo, las apps tienen un potencial muy interesante. En efecto, David CUEN, establece que“las apps son un paraíso para las empresas. Son plataformas cerradas, no se puede bloquear la pu-blicidad y los editores deciden qué información comparten y cuál no”18.

Estas apps han permitido nuevos modelos de negocio que se basan en información no sólo generadaa partir de la prestación de servicios, sino también de otras fuentes, como las evaluaciones de riesgoy solvencia patrimonial y la maximización de los ingresos. Uno de los modelos de negocio sustantivohoy día es el representado por las plataformas tecnológicas que vinculan vendedores y compradores,permitiendo compartir y redistribuir productos, servicios, habilidades y activos.

A menudo se le conoce como economía de consumo colaborativo, pero lo cierto es que estas platafor-mas pueden ofrecer una suma interesante entre la eficiencia económica clásica y los nuevos mecanis-mos de competitividad reduciendo los riesgos.

De hecho, estos modelos empresariales con base sustantiva en el tratamiento de datos ya están gene-rando grandes ingresos en relación con tradicionales negocios tales como el transporte de pasajeros,el alquiler de viviendas, los préstamos de dinero, la adquisición de comida en forma diaria entre otros.

Las encuestas señalan que los consumidores aprecian su aparente mayor conveniencia19, siendo su

17 BERNER- LEE, Tim, Long Live de web: A call for continued open Standards and Neutrality, Istituto Superiore MarioBuella, Politecnico di Torino, Noviembre, 2010. Disponible en:https://areeweb.polito.it/didattica/polymath/ICT/Htmls/Interventi/Articoli/Estero/BernersWeb/BernersWeb.htm (úl-timo acceso: 20/03/2019).

18 CUEN, David, “Las apps son el futuro (rían o lloren)”, en BBC Mundo, de 23 de junio de 2010. Disponible en:

http://www.bbc.co.uk/blogs/mundo/un_mundo_feliz/2010/06/las_apps_son_el_futuro_rian_o.html

(último acceso: 20/03/2019).

19 DAMBRINE, Benedicte, JERONE, Joseph y AMBROSE, Ben, “User Reputation: Building Trust and Addressing Privacy Is-sues in the Sharing Economy”, en Future of Privacy Forum, Junio 2015. Disponible en: https://fpf.org/wp-content/uploads/FPF_SharingEconomySurvey_06_08_15.pdf (último acceso: 20/03/2019).


moneda fundamental la reputación de los usuarios, las revisiones por pares y las posibilidades de ve-rificación de identidad.

La inteligencia artificial, como la robótica, refieren a un requisito tecnológico para máquinas tantoestacionarias como móviles. Su avance ofrece un inmenso potencial que más allá de su aplicación ac-tual, determina que las computadoras de aprendizaje profundo, se están ocupando para el procesa-miento de grandes conjuntos de datos, que entre otras cosas, utilizan redes neuronales que parecenemular el cerebro. Los investigadores y las empresas, tienen como objetivo, mejorar el aprendizajesin supervisión. Ya existen algoritmos que pueden entender y traducir idiomas, reconocer imágenes,escribir artículos de noticias y analizar datos médicos20. En este sentido, por ejemplo, los medios decomunicación proporcionan cantidades enormes de información personal de manera efectiva pre-eti-quetada por las propias personas.

5. UN EJEMPLO DE NUEVA DISPOSICIÓN SUSTANTIVA A CONSIDERAR EN ESTEMARCO: EL PRINCIPIO DE RESPONSABILIDAD DEMOSTRADA

Es imprescindible la rendición de cuentas y ésta implica el funcionamiento de una serie de políticasinternas y sistemas de control que aseguren conformidad por un lado y la entrega de documentaciónacreditante de las diferentes situaciones por otro, sin perjuicio que el requerimiento de burocracianunca es una situación beneficiosa si es innecesaria.

De hecho, parece interesante la minimización de requerimientos de documentación innecesaria paramaximizar el espacio para iniciativas de las empresas, apoyadas por la orientación de las autoridadesde protección de datos. El principio que establece que los datos personales deben ser tratados única-mente de forma compatible con el objetivo específico para el que fueron recolectados, es esencial pararespetar las expectativas legítimas de las personas. De hecho, la creación de códigos de conducta, au-ditorías, certificaciones, conjuntamente con una nueva generación de cláusulas contractuales y reglascorporativas vinculantes, pueden ayudar a construir un sólido mercado. En esta línea argumental, debeindicarse en consecuencia, que los responsables de la entrega de información personal deberían sermucho más dinámicos y proactivos alejándose de las llamadas Black Box esto es, tendencias de secretoy opacidad de las prácticas empresariales. Al mismo tiempo deberían exigir cada vez más transparenciatambién de parte de los clientes21.

En este contexto, es posible señalar que el principio de responsabilidad demostrada puede aportar con-creción y coherencia a la efectividad del tratamiento de los datos personales. En efecto, por principiode responsabilidad demostrada puede entenderse: “la obligación o disposición a responder por lasacciones propias” y “la obligación de un individuo o de una organización de rendir cuentas sobresus actividades, aceptar responsabilidad sobre ellas y divulgar los resultados de manera transpa-rente”22.

Fue la Organización para la Cooperación y el Desarrollo Económicos la que, en el año 1980, establecióeste principio, según el cual una entidad que recogía datos personales debía ser responsable del cum-plimiento efectivo de las medidas que implemente y de los principios de privacidad y de protecciónde datos.

En 2010, el Grupo de Trabajo del Artículo 29 en la Unión Europea emitió una opinión sobre el prin-

20 El algoritmo de Facebook “DeepFace” de reconocimiento facial ha reportado un 97% de éxito en el reconocimientode personas. TAIGMAN, Yaniv, YANG, Ming, RANZATO Marc’Aurelio, WOLF, Lior, “DeepFace: Closing the Gap toHuman-Level Performance in Face Verification”, Universidad de Toronto, 2014. Disponible en: https://www.cs.to-ronto.edu/~ranzato/publications/taigman_cvpr14.pdf (último acceso: 20/3/2019).

21 PASQUALE, Frank, The Black Box Society: The Secret Algorithms that Control Money and Information, Harvard Uni-versity Press, Cambridge, 2015, p. 16.

22 “Estudio sobre Responsabilidad Demostrada (Accountability)”, tomado de la definición de accountability Disponibleen: http://www.businessdictionary.com/definition/accountability.html (último acceso: 20/03/2019).


cipio de Responsabilidad Demostrada donde efectuó una propuesta concreta para que se añadiera esteprincipio al marco legal existente para que los responsables del tratamiento “implementaran medidasapropiadas y efectivas para asegurar que los principios y las obligaciones establecidas en la Directivafueran cumplidas y que eso se demostrara a las Autoridades a solicitud de estas”. Adicionalmente,incluyó una descripción de la responsabilidad demostrada de forma de “mostrar cómo se ejerce laresponsabilidad y hacer esto verificable”.

Últimamente este principio ha verificado algunas modificaciones en el sentido de indicar que los res-ponsables del tratamiento deben determinar la existencia de un programa integral de gestión de datospersonales, y al mismo tiempo, estar preparados adecuadamente para demostrar a la autoridad en casoque lo requiera la implementación efectiva de sus medidas dentro de la organización, lo que determinael cumplimiento de la normativa vigente sobre protección de datos de carácter personal.

Esto genera como contrapartida en forma inmediata, que el regulador deba antes de la determinaciónde una sanción, verificar la existencia de medidas y políticas adecuadas, que garanticen en forma idó-nea los tratamientos que se efectúen, y el reconocimiento expreso que debe hacer en relación con lasorganizaciones que tengan posibilidad de verificar una demostración de que una vulneración al sistemasolo obedecería a una situación excepcional y aislada y no generalizable dentro de un programa integralde gestión de datos personales.

Así es que puede indicarse que este principio se caracteriza por el énfasis en el rol del responsable deltratamiento, en tanto operador jurídico que debe implementar medidas dentro de la organización quepermitan cumplir con los principios establecidos en el régimen jurídico de la protección de datos per-sonales.

En definitiva implica el reconocimiento y compromiso de las organizaciones, para aumentar los es-tándares de protección de forma de garantizar a las personas un tratamiento adecuado de sus datospersonales.

En este orden de ideas, las medidas que deben adoptarse tendrán en cuenta diversos factores, quehacen a la idiosincrasia de cada organización, entre los que se consideran: su tamaño y naturaleza ju-rídica, la naturaleza de los datos tratados, el tipo de tratamiento al que se somete la información, y losriesgos que impliquen para los titulares la obtención y posterior uso o tratamiento de sus datos.

Se exige consecuentemente que las organizaciones establezcan políticas internas efectivas, a efectosde garantizar distintos aspectos:

estructura administrativa proporcional a la estructura de responsabilidad para la imple-•mentación de las medidas;

adopción de mecanismos internos para la puesta en práctica de políticas que incluyan he-•rramientas de implementación, entrenamiento y programas de educación y formación enel conjunto de la organización;

adopción de procesos de respuesta a posibles reclamos y consultas de parte de los titulares•de los datos,

Este planteamiento es consecuencia de un modelo que privilegia la gestión del riesgo, y al mismotiempo, la asignación de responsabilidades generalmente atribuidas siempre al responsable del trata-miento, y que produce no sólo evidentes beneficios para la organización, sino que dicha actividad setraduce en una mayor protección y seguridad jurídica para las personas.

La finalidad de incluir estos elementos en el funcionamiento de la organización no es otra que la ge-neración de una situación beneficiosa para las partes y también para el regulador, el que sin olvidarsede sus competencias de investigación verificará otros factores adicionales para el desarrollo de eva-luaciones en el seno de la organización, particularmente enfocados en la implementación de sus polí-ticas y su cumplimiento efectivo.

Para que esto sea así, las políticas de accountability deberán responder al menos a los siguientes cri-terios:


Generación de datos cuantitativa y cualitativamente medibles que permitan la acreditación•de un grado de diligencia particular en relación con las disposiciones normativas en materiade protección de datos personales.

Concreción de los ciclos internos de gestión de los datos en la organización en el marco•de un programa integral de gestión de datos.

6. ¿RIESGO U OPORTUNIDAD PARA LA PROTECCIÓN DE DATOS?

En la medida que las posibilidades de los diversos avances tecnológicos se amplían, se incrementanlas preocupaciones vinculadas con los mecanismos de actuación de todas las partes involucradas.

En todos los casos se verifica imprescindible considerar a todas las partes, esto es, aquéllos provee-dores, los vendedores, las compañías de seguros, las autoridades – relacionados con la tecnología, laprotección de datos y la seguridad de la información – en la medida que los riesgos para la privacidad,la seguridad y eventuales actuaciones delictivas son potencialmente producibles.

Así es que se están desarrollando soluciones para los dispositivos móviles y para internet en la nube,así como normas y requisitos de seguridad que se están aplicando en los ecosistemas tecnológicos.

Indudablemente la protección de los datos y la privacidad son una responsabilidad que es compartida.La colaboración de la industria permite la aceleración del apoyo del ecosistema tecnológico a travésdel alineamiento de los estándares actuales de la industria informática con el ecosistema de seguridadmás utilizado a nivel internacional.

A partir de lo anterior, es posible afirmar la necesidad de un equilibrio entre innovación, seguridad yprivacidad, siendo interesante la consideración de los siguientes elementos:

Las personas deben ser consideradas en su dimensión de tales y, por tanto, sus datos como•parte inherente a su personalidad y no como meros dueños de sus propios datos.

Los datos impulsan el desarrollo económico, generando por tanto una multitud de bene-•ficios sociales e individuales.

No todos los datos verifican la misma sensibilidad.•

Los consumidores deben confiar en cómo se usan, almacenan y transfieren sus datos.•

La tecnología es una parte fundamental de la solución, pero no la única, por lo que la in-•terdisciplina se impone.

Es imprescindible el desarrollo de un marco de tratamiento de datos que permita una nueva•clasificación de los diferentes tipos indicando nuevas estrategias de gestión que se puedanverificar unidas para la liberación del potencial de las diferentes tecnologías. Políticasorientadas a los datos especialmente protegidos, como aquéllos sanitarios y financieros,así como las comunicaciones de carácter individual, deben unirse a requerimientos deprivacidad y seguridad más estrictos que los datos que han sido entregados en forma vo-luntaria23.

En caso de registrarse adhesión a los elementos señalados, y existiendo un manejo riguroso de losdatos, será posible que los responsables políticos puedan desarrollar disposiciones normativas queanalicen las preocupaciones de seguridad y privacidad que el tema plantea y, de esta forma, asegurarque los beneficios sociales y económicos no estén acotados.

Sin perjuicio del enorme camino pendiente, esta era de los datos y su interacción con la tecnología yviceversa está, indudablemente, proporcionando beneficios interesantes.

23 Algunas personas pueden compartir información en Facebook acerca de sus preferencias de compra o en cuántotiempo corren una maratón. Al mismo tiempo tienen derecho a que sus direcciones personales y la información vin-culada con sus tarjetas de crédito estén protegidos cuando hacen transacciones en línea.


En efecto, una vez más aparecen las promesas, a concretarse vía la sostenibilidad futura, sugiriendocambios profundos en un futuro cercano tanto para las personas individuales cuanto para la sociedaden su conjunto.

Es por esa razón que es pertinente realizar las siguientes consideraciones de contexto:

Contralor de los datos. El control se desarrolla de forma escasa y en términos generalmente asimé-tricos. La información es recabada mediante dispositivos como consecuencia del rápido flujo de datosque se genera. Generalmente, el flujo de información obtenida de diferentes dispositivos conjuntamentecon la necesidad de concreción de accesibilidad y amigabilidad en lo que hace a la utilización de lossistemas informáticos que los contienen, determina que pierdan su efectividad e incluso resulten pocoadecuados. Esto hace incluso posible el uso de métodos tradicionales para la protección del derechoa la privacidad de los usuarios.

Además, debe considerarse que en muchos casos las personas no tienen la posibilidad de revisar losdatos que han facilitado antes de su publicación en una web o de que sean transmitidos vía Internet aotros dispositivos ya que la comunicación entre objetos para el intercambio de información se realizade forma automática, y en ocasiones, sin su conocimiento. En consecuencia, al ser más difícil el con-tralor del flujo de datos por esta vía, también lo es la determinación de qué tipo de datos son compar-tibles y cómo debe garantizarse la privacidad de los que, en cada caso, deben ineludiblemente serprotegidos.

Consentimiento informado del usuario para el tratamiento y gestión de sus datos personales.Dependiendo del tipo de tecnología que se implemente, es posible que ni el propio usuario tenga con-ciencia cabal del tipo de procesamiento que se efectúa con los datos que se introducen en un dispositivodeterminado. Muchas veces, puede resultar complejo para el usuario, acceder a las políticas de priva-cidad que utiliza el responsable de los datos desde un dispositivo instalado en un automóvil o en laheladera de su propia casa. Esto se transforma verdaderamente en un obstáculo para la obtención delimprescindible consentimiento informado para el tratamiento de datos personales. Por lo tanto, es sus-tantivo manifestar la necesidad de generar mecanismos novedosos y distintos de los tradicionales sis-temas para la obtención del consentimiento, por los fabricantes de los dispositivos, o los creadores delas plataformas.

Posibilidad de utilización de información relevada para finalidades diferentes a las que fueronnotificadas al usuario. El importante cúmulo de información que se puede recabar por medio de estosdispositivos, sumado a la utilización de novedosas y modernas técnicas de análisis de datos y crucede información también denominado cross matching, habilita que este tipo de datos sea utilizado parapropósitos “secundarios” en muchos casos distintos al propósito inicial, en acceder a información yarecabada de las personas.

Desarrollo de perfiles. Es poco razonable pensar que los datos se recaben en forma aislada y por se-parado; éstos tienen vocación de asociación a un usuario lo que indudablemente facilitará, con losmecanismos adecuados, el análisis de hábitos, comportamientos y preferencias, posibilitando la ela-boración de perfiles más detallados de los usuarios.

Límites a la posibilidad de permanecer anónimos ante la utilización de determinado dispositivoo servicio. Existe la chance de incrementar las posibilidades de identificación frente a la utilizaciónde elementos de fácil localización ya que la dirección del dispositivo - dirección MAC - es una herra-mienta de importante utilidad para la creación de huellas digitales de localización de usuarios.

Los niveles de seguridad y privacidad dependen, en definitiva, de los imperativos determinados porlos marcos jurídicos, dispares, además, en las diferentes partes del planeta.

Además de los criterios indicados, es necesario analizar una serie de escenarios diferentes vinculadoscon estos temas, a saber:

- Wearable computing: en tanto refiere a objetos y accesorios, a la vestimenta habitual, tal el caso re-lojes y lentes en los que se incluyen sensores para extender las funcionalidades.


Estos accesorios verifican una probabilidad importante de adopción y esto determina que se extiendana otros objetos cotidianos que son familiares para las personas, más aún en la medida que apenas pue-den diferenciarse sus imitaciones no conectadas.

Pueden incorporar cámaras cuyos micrófonos y sensores pueden registrar y transmitir datos al fabri-cante del dispositivo. Por otra parte, la disponibilidad de una interfaz de programación de aplicacionespara dispositivos portátiles apoya la creación de aplicaciones de terceros que de esa forma pueden ob-tener acceso a los datos recogidos por estos objetos.

- Dispositivos que registran información sobre la actividad de las personas: están diseñados para serregularmente llevados por personas que quieren grabar información sobre sus propios hábitos y estilosde vida; otros dispositivos, se centran en el seguimiento de movimientos, tales como contadores deactividad que miden e informan de los indicadores cuantitativos de forma continua relacionados conlas actividades físicas de la persona, entre otros.

Ser cuantificado a menudo requiere de sensores para ser usados en condiciones específicas para extraerla información relevante. Por ejemplo, podría colocarse un dispositivo para medir información rela-cionada con el ritmo respiratorio de una persona o su nivel de estrés. Ahora bien, esta información senotifica al usuario pero también, es posible que el fabricante o el proveedor de los servicios vinculadoscon el dispositivo, tengan acceso a muchos más datos que pueden ser analizados en una etapa poste-rior.

Ser cuantificado es un reto en cuanto a la cantidad y los tipos de datos recogidos que son generalmentevinculados con la salud de la persona, por lo que se trata de información potencialmente sensible.

- Domótica: implica la posibilidad de colocar en las oficinas o viviendas, elementos tales como elec-trodomésticos, que pueden ser controlados de forma remota a través de internet. Tal es así que lascosas que contienen sensores de movimiento pueden detectar y registrar cuándo un usuario está encasa, cuáles son sus patrones de movimiento, y pre-identificar un criterio de acciones. La mayoría delos dispositivos domóticos están constantemente conectados y pueden transmitir datos al fabricante.

La domótica plantea desafíos específicos a la protección de datos y la privacidad ya que, un análisisdel uso de patrones en este contexto, es probable que revele detalles de estilo de vida, los hábitos o lasopciones de los habitantes o su presencia en la casa.

Es muy importante considerar que se efectúa una pragmática y adecuada identificación de las situa-ciones factibles vinculadas con el tema, alertando acerca de los riesgos que estos productos y serviciospueden plantear para la privacidad de las personas, determinando responsabilidades y sugiriendo re-comendaciones.

Establecido lo anterior, se entiende pertinente la consideración de los siguientes elementos que sontransversales a las tecnologías señaladas supra, que verifican superposiciones y correlaciones peroque aportan a la visualización de los eventuales conflictos que podrían generarse para la protecciónde datos personales y a través de este derecho a la dignidad de las personas.

6.1. Obligaciones determinadas por las disposiciones normativas a los distintos actores

La protección de datos, la privacidad y las disposiciones normativas que los regulan han sido y siguensiendo revisadas a los efectos de salvaguardar los derechos de las personas de manera efectiva.

De hecho una de las consideraciones más importantes que verifica incorporada el nuevo ReglamentoGeneral de Protección de Datos es la integración del principio de rendición de cuentas, algo que tra-dicionalmente había sido establecido en el derecho de la competencia, siendo relativamente nuevo enla normatividad vinculada con protección de datos. Según este principio, las organizaciones que estánsujetas a las obligaciones en materia de protección de datos deben ser capaces de demostrar que hanimplementado medidas para garantizar el cumplimiento de las disposiciones normativas en la materiadando a su vez intervención a las autoridades, al menos para comprobar tal situación, y particularmente,frente a la existencia de posibles infracciones.


Por tanto las obligaciones de las empresas se consideran escalables por lo que aquéllas mejor posicio-nadas en el mercado o responsables de las operaciones riesgosas en el tratamiento de datos, deben serdiligentes en los pasos que ejecutan.

Sin embargo, las disposiciones normativas son imprescindibles pero no suficientes para crear una cul-tura de rendición de cuentas.

La regulación tiende a estar a la zaga de la tecnología y los mercados; la innovación y el dinamismocon que emergen los servicios tecnológicos perturban las industrias establecidas, satisfaciendo más alos consumidores pero generando complicaciones jurídicas por ausencias regulatorias y dificultadesde aplicación de las disposiciones tradicionales.

6.2. Necesidad de compatibilizar objetivos entre temáticas diferentes pero confluyentes

La protección de datos, la competencia y el derecho del consumo tienen como objetivo la promocióndel bienestar de las personas y colaborar en la creación de mejores oportunidades para éstas.

Indudablemente esto remite a nociones de equidad, de desarrollo humano sostenible y sustentable yrespeto de los derechos de las personas. En este sentido, debe tenerse presente que la equidad es quizásel criterio más fundamental para las prácticas comerciales lícitas así como en el tratamiento de losdatos personales en tanto principio fundamental junto con la transparencia siendo sustantivo para elderecho de la competencia en tanto no hace concesiones a los acuerdos anticompetitivos.

. La noción del "bienestar del consumidor" en el derecho de la competencia nunca ha sido claramentedefinida, y ha tendido a tener preponderancia tanto la estructura del mercado cuanto la eficiencia eco-nómica, y sólo indirectamente se ha considerado a las personas en tanto consumidores.

En conclusión puede establecerse que deben aplicarse los tradicionales principios de la protección dedatos de carácter personal a este nuevo paradigma tecnológico.

Así es que será imprescindible que con foco en la persona y sus derechos en cuanto tal, bajo unaestricta consideración de su eminente dignidad que los desarrolladores de dispositivos y aplicaciones,adapten sus productos al cumplimiento de los principios, procurando la no afectación de lo que le dasentido a su existencia que es nada menos que la simplicidad de uso que este tipo de equipos verifi-can.

6.3. Confianza y seguridad

Existe un problema ampliamente reconocido con la confianza y la percepción de su ausencia en elentorno digital. En este sentido, la Comisión Europea ha indicado que "el futuro de Internet no puedetener éxito sin la confianza de los usuarios en las plataformas y para ello debe respetarse la legislaciónaplicable y los intereses legítimos de los consumidores y los usuarios”24.

En el mismo sentido el Comisario VESTAGER, estableció que “los consumidores utilizan motoresde búsqueda ... [y] ... redes sociales ... y no pagan ni un solo centavo por esos servicios. En cambio,pagan con sus datos. Esto no debería ser un problema, siempre y cuando las personas se encuentrenfelices de que los datos que comparten son un precio justo de pagar por los servicios que reciben acambio. Los datos personales se han convertido en un bien valioso. Pero sólo puede ser sostenible sila gente confía”25.

En 2015, la New American Foundation Ranking Digital Rights realizó un estudio comprendiendo avarias de las empresas tecnológicas más importantes del mundo y determinó que hay múltiples pro-

24 EUROPEAN COMMISION Staff Working Document 'Online Platforms, Accompanying the Document" Communicationon Online Platforms and the Digital Single Market"', p. 44.

25 VESTAGER, “Making data work for us”, conferencia dictada en el marco del evento Data Ethics Data as Power, Cope-nague, 9 Setiembre 2016 .


blemas vinculados con fallas en los estándares esenciales de protección de datos. "Ninguna empresaen el Índice proporciona a los usuarios información suficientemente clara, completa y accesible sobrelas prácticas que pueden afectar a la libertad de expresión y la privacidad. Esto incluye el manejo dela información del usuario, términos de aplicación de servicio, peticiones de los gobiernos y solicitudesprivadas26.

Por lo tanto, es imprescindible superar el déficit de confianza, alentando transparencia, modelos denegocio transparentes, libertad de elección, portabilidad de datos y control y reparación efectiva encaso de violación de los derechos.

De esta forma se entiende pertinente concretizar elementos tales como:

1. Salvo casos excepcionales debidamente determinados, ninguna comunicación electrónica, rastreomediante cookies, toma de huellas dactilares o cualquier otro medio puede realizarse sin el consenti-miento de la persona que por otra debe poder revocarlo con facilidad.

2. Las personas tienen derecho a elegir qué contenido de terceros y que los involucren permitirán uobstruirán.

3. Los navegadores y software o sistemas operativos deben ofrecer controles predeterminados quehagan que sea fácil expresar o negar el consentimiento al seguimiento.

6.4. Desequilibrios en las transacciones electrónicas

La recolección de datos personales es, en el ámbito digital, un indicador del precio, entre el comerciantey el consumidor y se trata de una relación extremadamente desigual. Las plataformas tecnológicasdominantes son capaces de discriminar combinando conocimientos que obtienen a partir del trata-miento de los datos, ostentando posibilidad de monopolio e integración vertical en los mercados.

Los términos y condiciones de los servicios en línea que requieren mucho tiempo para que los usuariospuedan leerlos y comprenderlos, determinan que la competencia notoriamente no beneficie a los con-sumidores, sobre todo en relación con temas tales como el precio, la calidad y las posibilidades efec-tivas de elección del proveedor. Ahora bien, sin la existencia de competencia efectiva, los consumidoresno tienen opciones, y por lo mismo no hay incentivos para que un monopolio profesionalice su serviciootorgándolo con niveles de máxima calidad.

La transparencia sobre el uso de los datos es necesaria pero, si no existe una alternativa realista, sinosimplemente situaciones de “tómalo o déjalo” para los usuarios, las dificultades seguirán creciendo.Es conocida la problemática vinculada con la asimetría de información que presentan los serviciosbasados en la web, donde las empresas no tienen un conocimiento de contexto vinculado con el precioy la calidad de los productos.

7. CREACIÓN DE UN ECOSISTEMA SÓLIDO DE PROTECCIÓN DE DATOS

El trabajo multistakeholder en esta materia es posible, y por tanto, la articulación conjunta de gobier-nos, reguladores, desarrolladores y personas es una necesidad a los efectos de avanzar en el caminode la defensa y protección del derecho a la protección datos en el entendido además, que es necesarioconstruir innovación tecnológica. El imperativo tecnológico determina que todo lo que puede serhecho, lo será; sin embargo, desde la visión que aquí se sostiene, se entiende la necesidad de establecercorrecciones a esta afirmación. Lo fundamental viene dado por – desde el punto de vista de la protec-ción de datos – la determinación de parámetros que parten desde la regulación normativa, en tantodefensora y garantista para con los derechos de las personas.

De hecho, contrariamente a algunas afirmaciones, la protección de datos y el desarrollo de entornosdigitales sostenibles, dado su dinamismo, son compatibles y la primera no es un obstáculo a la se-gunda.

26 Disponible en: https://rankingdigitalrights.org/index2015/findings/ (último acceso: 25/03/2019).


En este sentido es que los órganos garantes tienen un rol sustantivo a cumplir, a los efectos de custodiarel resguardo de los derechos de forma tal, de impedir la generación de las preocupaciones de las per-sonas vinculadas con la pérdida de control sobre su información, que además son absolutamente vá-lidas en vínculo con éstos.

Así es que la construcción de un ecosistema aparece como sustantivo en tanto, la verificación de in-tereses contrapuestos tiene una transversalidad común que está dada precisamente por la necesidadde consideración central de la persona, en su vínculo con la tecnología.

Así es que se entiende pertinente la consideración de los siguientes aspectos:

7.1. Responsabilidad

Es imprescindible la rendición de cuentas y ésta implica el funcionamiento de una serie de políticasinternas y sistemas de control que aseguren conformidad por un lado y la entrega de documentaciónacreditante de las diferentes situaciones por otro, sin perjuicio que el requerimiento de burocracianunca es una situación beneficiosa si es innecesaria.

De hecho, parece interesante la minimización de requerimientos de documentación innecesaria paramaximizar el espacio para iniciativas de las empresas, apoyadas por la orientación de las autoridadesde protección de datos. El principio que establece que los datos personales deben ser tratados única-mente de forma compatible con el objetivo específico para el que fueron recolectados, es esencial pararespetar las expectativas legítimas de las personas. De hecho, la creación de códigos de conducta, au-ditorías, certificaciones, conjuntamente con una nueva generación de cláusulas contractuales y reglascorporativas vinculantes, pueden ayudar a construir un sólido mercado. En esta línea argumental, debeindicarse en consecuencia, que los responsables de la entrega de información personal deberían sermucho más dinámicos y proactivos alejándose de las llamadas "Black Box" esto es, tendencias de se-creto y opacidad de las prácticas empresariales. Al mismo tiempo deberían exigir cada vez más trans-parencia también de parte de los clientes.

7.2. Tecnología con conciencia de la necesidad de garantizar la protección de los datos

La innovación humana ha sido siempre producto de actividades de grupos sociales en contextos es-pecíficos que generalmente han reflejando las normas sociales de la época. Sin embargo, desde la tesisque se postula aquí, las decisiones deben tomarse a partir de las necesidades de las personas y no desdelos diseños que implican nuevas estructuras convenientes para los patrones tecnológicos, haciendocaso omiso de los datos personales y en su vínculo de la dignidad de las personas.

Por el contrario, las decisiones de diseño de sistemas deben desde su concepción avanzar en la consi-deración de valores y derechos fundamentales de las personas. De ahí que, entre otras opciones, sehan comenzado a estructurar criterios de privacidad desde el diseño o por defecto al punto que, elGDPR – como sabemos - lo prevé, en forma expresa y específica.

Por lo tanto, el desenvolvimiento y promoción de técnicas y metodologías de ingeniería que permitana las tecnologías de tratamiento de datos respetar en plenitud la dignidad y los derechos de las personas,son sustantivas. Los ingenieros de sistemas y software necesitan entender y aplicar mejor los principiosde la privacidad por diseño en nuevos productos y servicios a través de fases de diseño y desarrolloacordes.

La responsabilidad debe ser apoyada por el desenvolvimiento de nuevos y más exhaustivos mecanis-mos de investigación y desarrollo, en métodos y herramientas para asegurar auditorías precisas y paradeterminar el cumplimiento de las reglas por parte de los desarrolladores.

Las soluciones ingenieriles deberían potenciar a las personas que desean preservar su libertad a travésdel anonimato, por lo que deben promoverse el diseño y la aplicación de algoritmos que oculten iden-tidades y datos agregados, para proteger a la persona al mismo tiempo que se aprovechan los beneficiosdel poder predictivo de los datos.


En un entorno "prosumidor" las personas no son meros objetos pasivos que necesitan de la protecciónde los textos normativos para evitar su explotación. Las tendencias digitales descritas presentan grandesoportunidades siempre que sea fortalecido el papel de las personas.

7.3. Consentimiento

A pesar de los criterios tradicionales, nada hace determinar como verdadero que el comportamientode las personas pueda explicarse estrictamente por razones de índole económica. Esto es sustantivopara la consideración del rol que debe cumplir el consentimiento de las personas en relación con elprocesamiento de información personal.

De acuerdo con lo establecido en varias legislaciones, ésta no es la única base legítima que justificael tratamiento de los datos y además cumple un papel fundamental, que no implica liberar a los res-ponsables del tratamiento de los datos y a los responsables de las bases de datos de su responsabilidadpor lo que hacen con los datos, especialmente cuando se ha obtenido un consentimiento generalizadopara el procesamiento destinado a una amplia gama de propósitos.

Además, los temas vinculados con el control y la propiedad de los datos, remiten a que las personasdeben ser capaces de desafiar errores y prejuicios injustos, derivados de la lógica utilizada por algo-ritmos para determinar suposiciones y predicciones.

Los datos a menudo se consideran un recurso, tan valioso como el petróleo, y por lo mismo, se co-mercializan, idealmente por partes igualmente bien informadas. Sin embargo, los clientes no recibenuna compensación justa por la información suya que se comercializa, y algunos han argumentado afavor de un modelo de propiedad de datos. Sin embargo, el control absoluto de los datos personaleses difícil de garantizar; las preocupaciones vinculadas con temas tales como el interés público y losderechos y libertades de los demás siempre están presentes y determinan que el control sea necesario,pero de todas formas no es suficiente.

En este sentido, debe considerarse que es diferente el análisis de este tema, partiendo de una visuali-zación vinculada con la privacidad pensada como un derecho humano que incumba a las personas enfunción de su personalidad, o como un derecho de propiedad que de alguna manera implica controlde las personas. Los derechos humanos son inalienables, mientras que, los derechos de propiedad sonpresuntamente enajenables por el mercado. Sin embargo, la dignidad humana es siempre una constantey, así lo afirman, además, las disposiciones normativas vigentes. En diferentes países, la analogía conla propiedad no puede aplicarse como tal a la información personal, en tanto remite a un vínculo in-trínseco con la persona en su individualidad particular.

7.4. La dignidad como centro de la ética digital

Un marco ético debe sostener los cimientos de la construcción de un ecosistema digital como el seña-lado, partiendo del respeto y la salvaguardia de la dignidad, en tanto contrapeso fundamental a la vi-gilancia omnipresente y a la notoria asimetría de poder que ahora confronta a las personas.

A raíz de la revolución industrial de los siglos XVIII y XIX, los derechos humanos implicaron movi-lizaciones a los efectos de lograr asegurar determinados mínimos sociales, así como la reducción deobstáculos en la garantía y goce de los derechos de las personas.

Múltiples disposiciones normativas de diferente rango parten entonces, de la inviolabilidad de la dig-nidad humana.

La dignidad de la persona humana no sólo es un derecho fundamental en sí mismo, sino que es tambiénel fundamento de las libertades, incluidos los derechos a la intimidad, la privacidad, la autodetermi-nación informativa y a la protección de los datos personales.

Las violaciones a la dignidad de las personas pueden incluir su consideración tal si fueran objetos, otal si éstas estuvieran al servicio de alguna. En efecto, esto se relaciona con los casos en que se plantea


la resignificación de la tecnología por vía de su inclusión en tanto paradigma central superador de lapersona y en el centro de las relaciones que con ella se desenvuelven.

A principios del siglo XXI, cada vez se exige a las personas que revelen más información personal através de internet, para participar en actividades sociales, administrativas, asuntos comerciales, conun alcance cada vez más limitado para opting out. Con toda la actividad potencialmente desarrollableen línea, la noción de consentimiento libre e informado, se coloca bajo una enorme tensión. De hecho,hasta se elimina a cada minuto y se combina para clasificar a los individuos en tiempo real, e inclusopara crear perfiles múltiples, muchas veces contradictorios. Estos perfiles pueden ser circulados enmicrosegundos sin el conocimiento de las personas y utilizados como base para la toma de decisionesimportantes que les afectan.

Los perfiles utilizados para predecir el comportamiento de las personas amenazan con la estigmatiza-ción, la inclusión en estereotipos, segregación y exclusión social y cultural. Con este tipo de Inteli-gencia artificial que subvierte la elección individual y la igualdad de oportunidades, se puede acabarahogando la creatividad, la innovación y las libertades de expresión y asociación que han permitidoel florecimiento propiamente de las tecnologías digitales.

Mientras tanto, se utiliza una suerte de estado continuo de excepción por razones de seguridad paramúltiples capas de técnicas intrusivas que permiten monitorear la actividad de las personas.

Existe una creciente demanda y necesidad de considerar al sujeto de los datos, como una persona yno únicamente como consumidor o usuario, en tanto es central que desde las decisiones de carácterpolítico se comprenda su papel sustantivo en el desarrollo de mecanismos de prevención de un futuro,donde las personas estén determinadas por algoritmos y sus variaciones continuas. Se necesita asumira nivel consciente las implicancias de estar equipados para ejercer un "deber de cuidado" hacia laspersonas y su dignidad en línea, pero no solo a nivel discursivo sino a nivel factual.

Así los conceptos tradicionales de privacidad y protección de datos, sus tradicionales principios queya contenían matices éticos para la protección de la dignidad, deben resignificarse a la luz de las ten-dencias de hoy, que han abierto un capítulo completamente nuevo, y se verifica una necesidad de ex-plorar si los principios son suficientemente robustos para la era digital. La noción de datos personalesen sí misma, es probable que cambie sustantivamente en la medida que la tecnología cada vez máspermite a las personas ser re-identificadas a partir de datos supuestamente anónimos. Además, el apren-dizaje que se produce en la fusión de la inteligencia humana y artificial, debilitará de alguna maneralos tradicionales conceptos de derechos y responsabilidades.

De ahí la imprescindible necesidad de resignificar a la persona, a su dignidad eminente y colocarla enel centro del centro, de forma tal, que todo el ecosistema gire en torno a ella y no se permitan distor-siones de tipo alguno.

Por lo tanto, se comprenderá que se afirme que la privacidad y la protección de datos, son parte de lasolución y no del problema. Siendo por el momento, la tecnología controlada por las personas, se pos-tula la necesidad de continuar profundizando ese control.

Entonces, se entiende que el GDPR es un instrumento fundamental para avanzar en ese sentido. Nocoartando posibilidades, no impidiendo desarrollos, muy por el contrario, avanzando en la considera-ción de todos los aspectos relevantes que parten de la ubicación correcta de la persona en el centro detodos y cada uno de los proyectos o situaciones que impliquen manejen de datos.

8. CONCLUSIONES

Los datos personales han desempeñado un papel central en la evolución de los mercados digitales, al-gunos de los cuales ahora pueden considerarse servicios esenciales. El ágil desenvolvimiento de lastecnologías basadas en datos personales y en las operaciones de procesamiento de datos permitidaspor estas tecnologías, han colocado al derecho a la protección de datos, así como a varios otros dere-chos en un lugar de importancia sin precedentes, sobre todo en mérito a las factibles vulneracionesque pudieren sufrir.


De hecho, algunos derechos fundamentales clásicos establecidos en los instrumentos de derechos hu-manos – el derecho a la privacidad, el derecho a la libertad de expresión, el derecho a la no discrimi-nación – fueron concebidos originalmente como protecciones contra la interferencia del Estado.

Sin embargo, hoy está claro que en la era digital, las salvaguardias son igualmente necesarias contraposibles interferencias por entidades no estatales y por personas, lo que conduce a la protección espe-cífica del derecho a la protección de datos.

Los efectos de red, indudablemente son una característica de los mercados digitales. El carácter socialque reviste y los costos profesionales de optar por servicios basados en la web han aumentado, conlas posibilidades de interoperabilidad y las opciones disponibles, ofreciendo a menudo proteccionesde privacidad de bajo nivel. Un parámetro importante es la tradicional posibilidad de elección de pri-vacidad de las actividades personales, que hoy es prácticamente imposible de escoger, ya que, es muydifícil no ser rastreado mientras se consumen servicios digitales.

La aparente fragmentación de la web de acuerdo con las fronteras estatales y la segregación de la ex-periencia en línea del individuo en un número limitado de "jardines amurallados", amenaza la priva-cidad, la información personal, la libertad de expresión y la libertad de innovar en medio de laconcentración de ganancias y poder de mercado.

Por otra parte, las diferentes disposiciones normativas han consagrado específicamente el derecho ala protección de datos personales.

Las autoridades de protección de datos deben hacer cumplir la minimización de datos, lo que implicaque la información sólo sea tratada cuando sea adecuada, pertinente y limitada en relación con losfines para los que son procesados, y el derecho de las personas a recibir Información relativa a lalógica de la toma de decisiones automatizada y la elaboración de perfiles.

En consecuencia, la información personal no puede concebirse como un mero activo económico27,según lo han establecido los tribunales de justicia en diferentes instancias y lugares del planeta. Eltratamiento de los datos personales es imprescindible e implica la protección del derecho al respetode la vida privada y aquél la libertad de expresión y por tanto son garantía de la República.

Indudablemente, la protección de los datos y la privacidad son una responsabilidad compartida. Lacolaboración de la industria permite la aceleración del apoyo del ecosistema tecnológico, a través delalineamiento de los estándares actuales de la industria informática, con el ecosistema de seguridadmás utilizado a nivel internacional. Las disposiciones jurídico – normativas deben acompasar esta re-alidad para facilitar efectivamente protección a las personas y se considera que ciertamente este es unaporte relevante del GDPR.

La construcción de un ecosistema tecnológico-jurídico aparece como sustantivo en tanto, la verifica-ción de intereses contrapuestos tiene una transversalidad común que está dada precisamente por lanecesidad de consideración central de la persona, en su vínculo con la tecnología.

En consecuencia, un marco ético debe sostener los cimientos de la construcción de un ecosistema di-gital, pero también del tradicional, partiendo del respeto y la salvaguardia de la dignidad, en tantocontrapeso fundamental a la vigilancia omnipresente y a la notoria asimetría de poder que ahora con-fronta a las personas.

Un marco jurídico como el GDPR que aporta conocimiento, fundamento jurídico, tecnológico, socialy político, es sustantivo para concretar la defensa de la dignidad, con ésta la defensa de la personalidadhumana y por tanto la libertad como ejes centrales de la República, que en la concepción que se sos-tiene solo es factible mediante un sistema democrático.

27 CENTRE ON REGULATION IN EUROPE, Consumer Privacy in Network Industries, Policy Report, CERRE, Bruselas, 2016,ps. 35 - 36.


BIBLIOGRAFÍA

BERNER- LEE, Tim, Long Live de web: A call for continued open Standards and Neutrality, Istituto Superiore•Mario Buella, Politecnico di Torino, Noviembre, 2010. Disponible en:

https://areeweb.polito.it/didattica/polymath/ICT/Htmls/Interventi/Articoli/Estero/BernersWeb/Berners-•Web.htm (último acceso: 20/03/2019).

CENTRE ON REGULATION IN EUROPE, Consumer Privacy in Network Industries, Policy Report, CERRE,•Bruselas, 2016, ps. 35 - 36.

CISCO ANNUAL REPORT 2008, The Human Network Effect. Disponible en:•http://www.cisco.com/c/dam/en_us/about/ac49/ac20/downloads/annualreport/ar2008/pdf/cisco_ar2008_complete.pdf (último acceso: 18/02/2019).

CUEN, David, “Las apps son el futuro (rían o lloren)”, en BBC Mundo, de 23 de junio de 2010. Disponible•en:

http://www.bbc.co.uk/blogs/mundo/un_mundo_feliz/2010/06/las_apps_son_el_futuro_rian_o.html (último•acceso: 20/03/2019).

DAMBRINE, Benedicte, JERONE, Joseph y AMBROSE, Ben, “User Reputation: Building Trust and Addressing•Privacy Issues in the Sharing Economy”, en Future of Privacy Forum, Junio 2015. Disponible en:https://fpf.org/wp-content/uploads/FPF_SharingEconomySurvey_06_08_15.pdf (último acceso:20/03/2019).

EUROPEAN COMMISSION, Staff Working Document 'Online Platforms, Accompanying the Document" Com-•munication on Online Platforms and the Digital Single Market"', p. 44.

MOORE, Gordon, “Cramming more components onto integrated circuits”, Electronics, en Proceedings of•the IEEF, Nº 1, Volumen 86 Enero 1998. Disponible en:http://www.cs.utexas.edu/~fussell/courses/cs352h/papers/moore.pdf (último acceso: 18/02/2019).

PASQUALE, Frank, The Black Box Society: The Secret Algorithms that Control Money and Information, Har-•vard University Press, Cambridge, 2015, p. 16.

RED IBEROAMERICANA DE PROTECCIÓN DE DATOS, Estándares de Protección de Datos Personales para los•Estados Iberoamericanos. Disponible en:

http://www.redipd.es/documentacion/common/Estandares_Esp_Con_logo_RIPD.pdf•

SANTO TOMÁS DE AQUINO, Suma de Teología, I-II, q. 81, a. 2, in c. Disponible en: http://hjg.com.ar/sumat/•(último acceso: 18/02/2019).

TAIGMAN, Yaniv, YANG, Ming, RANZATO Marc’Aurelio, WOLF, Lior, “DeepFace: Closing the Gap to Human-•Level Performance in Face Verification”, Universidad de Toronto, 2014. Disponible en:

https://www.cs.toronto.edu/~ranzato/publications/taigman_cvpr14.pdf (último acceso: 20/3/2019).•

THE WHITE HOUSE – Executive office of the President, “Big Data: Seizing opportunities, preserving values”,•Podestá Report, Mayo, 2014. Disponible en:https://obamawhitehouse.archives.gov/sites/default/files/docs/big_data_privacy_report_5.1.14_final_print.pdf (último acceso: 20/03/2019).

VAN WOENSEL, Lieve y ARCHER, Geoff, Ten technologies which could change our lives: potential impacts•and policy implications, European Parliamentary Research Service, Enero, 2015. Disponible en:http://www.europarl.europa.eu/EPRS/EPRS_IDAN_527417_ten_trends_to_change_your_life.pdf (últimoacceso: 20/03/2019).

VESTAGER, “Making data work for us”, conferencia dictada en el marco del evento Data Ethics Data as•Power, Copenague, 9 Setiembre 2016.

WEISER, Mark, “The Computer for the 21st Century”, Scientific American Ubicomp Paper after Sci Am•editing. Disponible en: https://www.ics.uci.edu/~corps/phaseii/Weiser-Computer21stCentury-SciAm.pdf(último acceso: 20/03/2019).





ISSN 2530-4496 – AÑO 1, N° 6, 2019, PÁGS. 99-116

INNOVACIÓN CONSTITUCIONAL ECUATORIANA FRENTE AL ESTÁNDAR EUROPEO: LA REPARACIÓN INTEGRAL EN LA PROTECCIÓN DE DATOS

PERSONALES Y EL HABEAS DATA RESTAURADOR.

ECUADORIAN CONSTITUTIONAL INNOVATION LEADING THE EUROPEANSTANDARD: THE COMPREHENSIVE REPARATION OF PERSONAL DATA PROTECTION

AND HABEAS DATA RESTORATION.

Lorena Naranjo Godoy1

1 Docente tiempo parcial de la Universidad de las Américas Ecuador.Directora Nacional de Registro de Datos Públicos

RESUMEN:

El contenido complejo y progresista de la Constitución ecuatoriana permite identificar un elementoque supera el alcance tradicional del habeas data pues la aplica a una institución propia de los derechoshumanos: la reparación integral. Enfoque de derechos que plantea una innovación incluso frente a losestándares más avanzados a nivel mundial contenidos en el Reglamento de Protección de Patos Per-sonales europeo.

ABSTRACT:

The complex and progressive content of the Ecuadorian Constitution makes it possible to identify anelement that goes beyond the traditional scope of habeas data, since it applies it to a human rights in-stitution: integral reparation. A rights-based approach that proposes innovation even in the face of theworld's most advanced standards contained in the GDPR.

PALABRAS CLAVE:

Protección de datos personales, reparación integral, habeas data , habeas data restaurador, derechoinstrumental

INTRODUCCIÓN:

La Constitución ecuatoriana de 2008 reconoce, por primera vez, el derecho a la protección de datospersonales. En la nueva organización constitucional, el Título II, en nueve capítulos, amplía y fortaleceel sistema de derechos de las personas, las comunidades, pueblos, nacionalidades, colectivos e inclusolos de la naturaleza. De tal forma que se eliminan las generaciones y la jerarquización de los derechos.La protección de datos personales consta en el capítulo sexto relativo a los derechos de libertad de laspersonas. Aquellos derechos que permiten el ejercicio de las libertades individuales en sus distintosaspectos, si bien propios de personas físicas e individuales, inherentes y básicas, pues tienen comoantecedente inmediato a la dignidad del ser humano, también pueden ser extendidos a las personasjurídicas, en virtud del principio de universalización (Corte Constitucional del Ecuador, Sentencia No.0023-2008-HD, p.8) que consta en el artículo 10 de la Carta Magna, si son de aquellos que les corres-pondan, según su naturaleza social y siempre en atención a la definición constitucional de los derechosde los que se trate (Corte Constitucional del Ecuador ara el Período de Transición, Sentencia No. 068-2010-SEP-CC, p.13)

Asimismo, la Constitución distingue el derecho al honor y al buen nombre, de la protección legal dela imagen y la voz de la persona, del derecho a la intimidad personal y familiar, ya que los consagraen distintos numerales, esto es el 18 y el 20, respectivamente, del citado artículo 66 de la Constitución.

En el caso ecuatoriano, para determinar la dimensión esencial del derecho a la protección de datospersonales es indispensable analizar la garantía constitucional del habeas data; conforme se señalóen líneas anteriores, están descritos en el artículo 92 de la Constitución, relativo a esta garantía cons-titucional: parte del bien jurídico protegido y de las facultades de sus titulares (derecho de acceso,rectificación, cancelación y anulación). Anotándose además, que esta determinación no puede tomarde fuente a la ley debido a que en el Ecuador pese a estar consagrado el derecho constitucional y sugarantía constitucional no se ha promulgado aún una Ley de Protección de Datos Personales.

Esta nueva concepción de las garantías concertadas en el texto constitucional establece una protecciónampliada de todos los derechos fundamentales, de los cuales por su naturaleza el habeas data se aplicano solo al derecho a la intimidad, al buen nombre, el honor, la propia imagen y la voz; sino tambiénal autónomo e independiente y recién incluido en el catálogo de derechos fundamentales, el derechoa la protección de datos personales.

INNOVACIÓN CONSTITUCIONAL ECUATORIANA FRENTE AL ESTÁNDAR EUROPEO: LA REPARACIÓN INTEGRAL EN LA PROTECCIÓN DE DATOS PERSONALES Y EL HABEAS DATA RESTAURADOR

Ahora bien, el contenido complejo y progresista de la Constitución ecuatoriana permite identificar un

elemento que supera el alcance tradicional del habeas data pues la aplica a una institución propia de

los derechos humanos: la reparación integral. Enfoque de derechos que plantea una innovación incluso

frente a los estándares más avanzados a nivel mundial contenidos en el Reglamento de Protección de

Patos Personales europeo, como se verá en el desarrollo de esta investigación.

1. ANTECEDENTES:

La etimología del habeas data, “significa «conservar o guardar los datos», o con mayor propiedad

como lo señala Morogana Díaz citando a Otón Sidow «que tengas los registros, los datos», habiéndose

puesto de resalto su similitud con el hábeas corpus. Se ha hecho notar que a semejanza de este último

instituto, en el que se impetra la presentación del «cuerpo» del privado de su libertad para investigar

los motivos de la misma, y en su caso disponer la cesación de ese estado, en el hábeas data se requiere

se presenten los datos para la verificación de su exactitud, actualidad, etc., a efecto de exigir si corres-

pondiere, su inmediata rectificación, actualización, sometimiento a confidencialidad, reserva, etc.”

(Peyrano, 2002, p. 284). De este concepto, resalta su similitud con el habeas corpus y se deduce su

espíritu, ya que esta garantía constitucional considera que puede evitarse, prolongarse o anularse la

transgresión de la dignidad de los titulares de los datos, pues obliga a los sujetos pasivos a presentarse

y mostrar los datos para que estos pudieran ser revisados y corregidos de ser el caso.

Si bien se consideraba al habeas data como un derecho – garantía procesal constitucional, cuyo origen

pretendía contrarrestar los peligros de la automatización de la información, como respuesta al desa-

rrollo tecnológico y al tratamiento de datos e información personal. Sin embargo, “como una respuesta

a ese desarrollo del poder informático, es una garantía especial que protege, fundamentalmente, el de-

recho a la intimidad. Como bien dice Ekmekdjian y Calogero Pizzolo (h), «el derecho a la privacidad

o a la intimidad es una consecuencia o derivación del derecho a la dignidad»”. (Cesario, 2001, p. 110)

Es decir, no se concebía al habeas data como manifestación directa del derecho a la protección de

datos personales, sino como tutela del derecho a la intimidad y a la privacidad familiar y personal que

se consideraba era el bien jurídico violentado por las nuevas tecnologías de la información y comuni-

cación.

Entonces, cuando se identificó que la utilización inadecuada de los datos personales no solo transgredía

estos derechos tradicionales, sino que causaba perjuicio a las libertades informativas del individuo,

apareció un nuevo derecho denominado protección de datos personales del cual el habeas data se

constituía ahora en su mecanismo de tutela. Esto es:

[…] la construcción de este nuevo derecho fundamental excede la tradición jurídica que tuvo el derecho

a la intimidad, permitiendo que toda información que concierna a cualquier persona pueda ser contro-

lada por él mismo como un freno al poder informático [...] En pocas palabras, el derecho a la libre

disposición de los datos personales supone recrear un derecho fundamental que, derivado del derecho

a la vida privada del hombre, le permite resolver por sí mismo el tratamiento que quiera asignar a los

datos que sobre su persona se almacenen con destino diferentes. La garantía específica para salva-

guardar el derecho es el proceso constitucional de hábeas data. (Gozaíni, 2001, p. 57).

Conforme las primeras Constituciones latinoamericanas, se relacionó estrechamente a esta garantía

constitucional principalmente con el derecho a la intimidad; sin embargo, las transgresiones que en el

ámbito de lo informático se manifestaron mediante la captación y uso de datos en bancos de datos e

informes sobre sí mismos y sus bienes, que por erróneos o desactualizados afectaren ilegítimamente

derechos de las personas, generaron que el habeas data adquiriere un contenido más amplio que in-

cluye, no solo a la intimidad, a la privacidad personal y familiar, sino a otros derechos fundamentales.

Por eso, se afirma que fue constituido para conseguir el amparo prometido a la “generosa tutela judicial

prometida a los derechos derivados de la vida privada (intimidad y privacidad)”, (Gozaíni, 2001, p.

56) aunque paulatinamente este ámbito se habría extendido.

Lorena Naranjo Godoy

En consecuencia, el habeas data es una garantía jurisdiccional que pertenece a las garantías constitu-cionales, por la cual los ciudadanos tienen derecho a verificar que los datos que se encuentran en losficheros de terceros se encuentren actualizados, completos, correctos y que, de no ser así, puedan ejer-citar los derechos de rectificación, actualización o cancelación; en otras palabras, es un derecho decontrol sobre sus datos, con lo cual se protegen, no solo el derecho a la protección de datos personaleso autodeterminación informativa, sino también otros derechos como la intimidad, la privacidad, lahonra, la buena reputación, la identidad, la imagen, la voz, el libre desarrollo de la personalidad, entreotros.

En el caso del Ecuador, el habeas data nunca tuvo exclusivamente una finalidad instrumental, sinoque, por el contrario, su objetivo también era sustantivo, pues estructuraba las bases del sistema deprotección de los derechos constitucionales, inicialmente la intimidad y el honor, posteriormente, laprotección de datos personales, la imagen y la propia voz, entre otros. A continuación se revisará laevolución histórica de esta figura procesal constitucional en Ecuador, con la finalidad de evaluar suhistórico y actual contenido esencial que permita completar el estudio del derecho fundamental a laprotección de datos personales.

2. LAS GARANTÍAS CONSTITUCIONALES EN LA CONSTITUCIÓN DE 2008

Históricamente, en Ecuador las garantías de los derechos constitucionales, pese a su reconocimientoexpreso en la normativa, han sido objeto de sistemática e ilegítimas restricciones debido a la reducciónde la noción de garantía exclusivamente a la esfera jurisdiccional o de la formalización o restricciónformal de las garantías jurisdiccionales. (Grijalva, 2009, p. 239).

Ante esa realidad, la Constitución de 2008 rompe el sistema preestablecido y concibe un sistema ro-bustecido de protección de los derechos constitucionales. Por el cual, no se establece una gradaciónrespecto a la protección de los derechos y libertades, sino que todos los derechos gozan de un régimende protección jurídica reforzada que se logra por medio de garantías normativas o abstractas, jurisdic-cionales o concretas e institucionales (Storini, Quito, ps. 287-8). Se configuran entonces a las garantíasdesde su verdadera funcionalidad, de tal forma que se abandona la anterior perspectiva de que las ga-rantías son en sí mismo derecho, para sostener en cambio que sin garantías prácticamente no hay de-rechos puesto que estarían ausentes los mecanismos de exigibilidad de una conducta u omisión quetales derechos implica. En palabras de Ferrajoli, la falta de normativa constituye una laguna o vacíonormativo que debe ser solucionado.

El motivo por el cual se incluyen una mayor variedad de garantías constitucionales radica en que exis-ten múltiples mecanismos, a más de las garantías jurisdiccionales, que obligan a las todas las institu-ciones y autoridades estatales a respetar y desarrollar los derechos humanos, no solamente los jueces(Storini, Quito, ps. 251).

En consecuencia, se consagraron tres tipos de garantías:

Las garantías normativas: Son aquellas que buscan evitar que la actuación, con carácter general yabstracto, de los poderes públicos desconozcan, vulneren la eficacia o alcance de los derechos funda-mentales, o menoscaben el contenido mínimo que la norma constitucional atribuye a dichos derechos.En virtud de lo cual, su finalidad primordial es evitar que las normas de rango inferior a la Constituciónque desarrollan los derechos fundamentales despojen a éstas del contenido y de la eficacia que laConstitución le ha otorgado, sino ofrecer a cada ciudadano la posibilidad de reaccionar frente a lasvulneraciones de sus propios derechos. “En el Estado de derecho esta reacción normalmente tienelugar instando la actuación de los órganos judiciales, y por ello los instrumentos que la posibilitan seagrupan bajo la denominación de garantías jurisdiccionales o procesales específicas” (Storini, Quito,ps. 251). Estas garantías conforme la clasificación doctrinaria se conocen como primarias porqueobligan al Legislativo y al Ejecutivo en el ejercicio de su acción reguladora.


Las garantías jurisdiccionales o procesales específicas: Consisten en los instrumentos básicos paraasegurar la efectividad de los derechos constitucionales. Por el cual, estas garantías son los mediosprocesales para exigir a los jueces, en cada caso en particular, aseguren de autoridades y particularesel respeto a los derechos constitucionales y obtener su restablecimiento o preservación. (Storini, Quito,ps. 251). Pertenecen a este grupo: la previsión de una acción de protección, acción de habeas corpus,acción de habeas data, acción por incumplimiento y acción de acceso a la información pública (artículo88 y ss.). Posibilidad de promover una acción extraordinaria de protección ante la Corte Constitucionalpara la protección de los derechos reconocidos en la Constitución (artículo 94). Carácter obligatoriode la jurisprudencia de la Corte Constitucional en materia de garantías (artículo 436, núm. 6).Previsiónde un procedimiento preferente y sumario para su protección jurisdiccional, de una reparación integraly de instrumentos para garantizar el efectivo cumplimiento de la sentencia o resolución (artículo 86)(Storini, Quito, ps.287-8). Según la clasificación doctrinaria, a estas garantías se las denomina secun-darias porque funcionan únicamente si las primarias han fallado y deben ser ejecutadas por jueces eincluyen sanciones o reparaciones.

Las garantías de políticas, servicios públicos y participación ciudadana: También denominadainstitucional, porque mediante mecanismos genéricos constituidos por acciones de gobierno y de laparticipación de la persona, comunidades, pueblos y nacionalidades se formulan, ejecutan, evalúan, ycontrolan políticas públicas y servicios públicos orientados a hacer efectivos todos los derechos y desu formulación y control ciudadano (artículo 85 de la Constitución de la República del Ecuador). Noobstante, hay que entender como “garantía institucional aquel concepto relacionado con las institu-ciones que están garantizadas en la Constitución y, por tanto, aquellas otras garantías así definidas poralgunos autores deben ser reconducidas, en función de su naturaleza” (Storini, Quito, ps. 289).

Hay que tener en cuenta, además, que todos los derechos gozan de otras garantías:

1. La protección que supone la existencia de una Corte Constitucional con capacidad para enjuiciar laconformidad de las leyes con los preceptos constitucionales relativos a derechos y libertades, pormedio del control constitucional de las leyes. 2. La vinculación de todos los jueces y tribunales ordi-narios a los derechos y garantías constitucionales, y, en especial, a realizar una interpretación de normasinfra constitucionales favorable a los derechos constitucionales (artículo 11, núm. 5) y también a losfuncionarios públicos. 3. La institución de la Defensoría Pública o Defensor Público y la Defensoríadel Pueblo (artículo 191 y ss., 214 y ss.). 4. La institución de la Fiscalía General del Estado (artículo194 y ss.). En suma, si se analiza la Constitución de Montecristi bajo el parámetro de la extensión delos mecanismos de protección de los derechos, podría afirmarse que representa un modelo ejemplar.No obstante, será necesario analizar si, y hasta qué punto, este modelo de garantías logrará ser real-mente efectivo y, en su caso, cuáles podrían ser las interpretaciones del dictado constitucional quepueden favorecer dicha efectividad. (Storini, Quito, ps. 287-8)

Hay, sin embargo, un tercer género de garantías semijurisdiccionales o semipolíticas, consistentes enórganos de control independientes del Legislativo o del Ejecutivo, que tramitan denuncias o ejercenacciones para defender derechos constitucionales, pero no tienen poder de sanción; el ejemplo clásicoes el del Defensor del Pueblo.

Conforme la clasificación antes citada, el habeas data es una garantía jurisdiccional, secundaria, puesprocede solo una vez que la garantía primaria ha sido vulnerada; ya sea porque no existe normativaque proteja el derecho o porque, existiendo, se ha conculcado una norma constitucional o legal, quepretende garantizar la vigencia del derecho en un caso particular.

Con la finalidad de superar los problemas de la Constitución de 1998, la vigente plantea la desforma-lización del acceso a la garantía de habeas data. De este modo, en virtud del principio de universali-zación, permite que todas las personas puedan reclamar sus derechos, y en consecuencia, por aplicacióntodas las personas pueden ser parte legitimada de las garantías jurisdiccionales de la nueva Constitu-ción. En el artículo 86 de la nueva Constitución se ratifica que “cualquier persona, grupo de personas,


comunidad, pueblo o nacionalidad podrá proponer las acciones previstas en la Constitución”. Medianteestos principios constitucionales se intenta pasar de una justicia constitucional altamente formalista,en la cual el acceso estaba fuertemente restringido, a una amplia posibilidad de actuación por parte detodos los ciudadanos (Grijalva, Quito, p. 1041).

Asimismo, la nueva Constitución establece, en el artículo 86, varias disposiciones comunes que debenser aplicadas tanto a garantías normativas, como a garantías jurisdiccionales e incluso de políticas yservicios públicos, incluidas las de participación ciudadana. Los principios comunes se refieren a lostitulares, la competencia de los jueces que conocen estas acciones, los procedimientos pertinentes in-cluyendo medidas cautelares, audiencia, pruebas, sentencia y apelación, así como la ejecución de lassentencias, las sanciones por su incumplimiento y su eventual revisión por parte de la Corte Consti-tucional y la reparación integral, a lugar en una sentencia derivada de una acción constitucionalcuando se ha violado un derecho establecido en la Carta Magna. (Grijalva, Quito, p. 252).

Sin duda, la Constitución de 2008, al contemplar nuevas formas de garantías que se interrelacionan,completen e integran con la finalidad de mejorar en conjunto el sistema de tutela de derechos. En con-secuencia, el habeas data se beneficia de estas mejoras común a todas ellas, permitiendo que al menosen la cuestión procedimental la normativa de esta acción se perfeccione.

3. EL HABEAS DATA EN LA CONSTITUCIÓN DE 2008

Como se ha visto, el habeas data existió desde 1996 y tenía una doble dimensión en la Constituciónde 1998,2 ya que era al mismo tiempo derecho y garantía. Incluso: “Gran parte de los derechos cons-titucionales son, en sí mismos, garantías de la realización de otros derechos, y que las mismas garantíasdeben considerarse derechos” (Storini, 2009, 287).

El habeas data, al participar de esta doble virtualidad, paulatinamente había ganado independencia yautonomía, demostrando que por sí sola constituía tutela de un nuevo derecho fundamental conocidocomo: la libertad informática o autodeterminación informativa, por el cual el individuo tiene derechoal acceso y control de sus datos.

En tal sentido, la Constitución de 2008 consagró en el numeral 19 del artículo 66 de la Constituciónde la República del Ecuador (CRE) el derecho fundamental a la protección de datos personales enacápite distinto del derecho a la intimidad personal y familiar, ya que le otorgó contenido esencial dis-tinto que justificó su inclusión en el catálogo de derechos y que fue analizado en líneas precedentes.

Ahora bien, respecto a lo que es de nuestro interés, la Constitución de 2008 perfecciona el sistema detutela a través de la inclusión de nuevos tipos de garantías, y de normas comunes que regulan y efec-tivizan las garantías jurisdiccionales entre las que consta el habeas data.Es pertinente realizar el análisis de la naturaleza jurídica de esta garantía jurisdiccional que conformeconsta en el artículo 92 de la CRE textualmente señala:

Toda persona, por sus propios derechos o como representante legitimado para el efecto, tendrá derechoa conocer de la existencia y a acceder a los documentos, datos genéticos, bancos o archivos de datospersonales e informes que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas,en soporte material o electrónico. Asimismo tendrá derecho a conocer el uso que se haga de ellos, sufinalidad, el origen y destino de información personal y el tiempo de vigencia del archivo o banco dedatos. Las personas responsables de los bancos o archivos de datos personales podrán difundir la in-

2 Ecuador, CONSTITUCIÓN POLÍTICA DEL ECUADOR DE 1998. Sección segunda, Del hábeas data: “Artículo 94.- Toda per-sona tendrá derecho a acceder a los documentos, bancos de datos e informes que sobre sí misma, o sobre sus bienes,consten en entidades públicas o privadas, así como a conocer el uso que se haga de ellos y su propósito. Podrá solicitarante el funcionario respectivo, la actualización de los datos o su rectificación, eliminación o anulación, si fueren erró-neos o afectaren ilegítimamente sus derechos. Si la falta de atención causare perjuicio, el afectado podrá demandarindemnización. La ley establecerá un procedimiento especial para acceder a los datos personales que consten en losarchivos relacionados con la defensa nacional”.


formación archivada con autorización de su titular o de la ley. La persona titular de los datos podrásolicitar al responsable el acceso sin costo al archivo, así como la actualización de los datos, su recti-ficación, eliminación o anulación. En el caso de datos sensibles, cuyo archivo deberá estar autorizadopor la ley o por la persona titular, se exigirá la adopción de las medidas de seguridad necesarias. Si nose atendiera su solicitud, ésta podrá acudir a la jueza o juez. La persona afectada podrá demandar porlos perjuicios ocasionados.

Para comprender las modificaciones y mejoras introducidas a la norma constitucional se realizó unanálisis de la evolución normativa, comparando el texto que constaba en la Constitución de 1998 conel vigente de 2008. A continuación se señala las distintas variantes normativas y mejoras introducidas:

Garantía Jurisdiccional: En la nueva estructura constitucional la acción de habeas data está ubicadadentro del título III, Garantías Constitucionales, en el capítulo tercero de las garantías jurisdiccionales,en la cuarta sección denominada precisamente Acción de hábeas data. Es decir, a la luz de la CartaMagna vigente constituye una de las garantías jurisdiccionales y, junto con las garantías normativasy de políticas públicas, servicios públicos y participación ciudadana, conforman el actual sistema degarantías constitucionales.

Legitimado activo: El artículo 92 de la CRE aclara que toda persona “por sus propios derechos o comorepresentante legitimado para el efecto” podrá ejercitar la garantía constitucional del habeas data. Adiferencia de su versión anterior (1998), la norma vigente aclara que el legitimado activo de esta acciónconstitucional puede ser una persona como titular directa del derecho, así como su representante, encaso de carecer de capacidad de ejercicio. Incluso puede comparecer un representante legal de unapersona jurídica, ya que como se analizó en líneas anteriores, la sentencia No. 001-2014-PJO-CC decarácter vinculante, dictada por la Corte Constitucional, reconoce que en Ecuador las personas jurídicaspueden ser titulares del derecho a la protección de datos Ecuador, Corte Constitucional del Ecuador,Sentencia No. 001-2014-PJO-CC). La universalización de la titularidad, tanto del derecho fundamentalcomo de la acción jurisdiccional, se configura también en el artículo 10 de la CRE que otorga perso-nalidad jurídica, y por ende considera legitimados activos a personas, comunidades, pueblos, nacio-nalidades y colectivos.

Derecho de información sobre la existencia de un fichero: La Constitución vigente agrega un derechoque no constaba en la versión preliminar del artículo 92 de la CRE sujeta a análisis, que se refiere aconocer de la existencia; es decir, el habeas data no se limita al acceso, sino que desarrolla un nuevocontenido: el derecho de información, por el cual todas las personas tienen derecho a conocer de laexistencia de un archivo, base de datos, información o documentos sobre sí mismo o sus bienes, yasea que estos se encuentren en soporte digital o físico.

Archivos de datos personales: La norma vigente garantiza la protección no solo de documentos, bancosde datos e informes sobre sí misma o sobre sus bienes, sino que a diferencia de su predecesora incluyetambién a “los archivos de datos personales”. Así pues, aparece el término archivo, comprendido comoun “conjunto de datos almacenados en la memoria de una computadora que puede manejarse con unainstrucción única. Conjunto ordenado de documentos que una persona, una sociedad, una institución,etc., producen en el ejercicio de sus funciones o actividades” (Real Academia de la Lengua Española).Se intenta con este término englobar toda la variedad de formas en las que se recoge datos personales;sin embargo, se deja por fuera a los datos sueltos que no cumplen con la condición de archivados.Además, se hace alusión expresa a que los datos susceptibles de protección son únicamente los per-sonales, a diferencia de la norma anterior que no mencionaba esta específica naturaleza de los datospara que la garantía opere. En este sentido, es valiosa la aclaración de que la vigente garantía consti-tucional no protege cualquier tipo de dato, sino aquellos asociados a un titular identificado o identifi-cable.

Datos genéticos: Asimismo, la norma vigente hace mención expresa a los datos genéticos, informaciónsensible que debe ser protegida de forma especial por las repercusiones, no solo en la salud individual,sino incluso en el patrimonio biológico del Ecuador. Era voluntad de los asambleístas constituyentesla adición expresa de la protección de estos datos (Asamblea Constituyente 2008 de Ecuador, ActaNo. 76, p. 12).


Soporte material y electrónico: Se aclara que el habeas data, como acción, no solo protege los datosque constan en soporte electrónico, sino que se incluyen aquellos que consten en soporte material,dado que este derecho tiene como finalidad garantizar la dignidad humana no solo ante las agresionestecnológicas, sino ante todas aquellas que pudieran, mediante la utilización de datos, causar una vio-lación de derechos fundamentales.

Derecho de información sobre la finalidad de una base de datos: Se añade otro derecho que, de formaexpresa, pasa a formar parte del actual contenido esencial del derecho a la protección de datos perso-nales y de otros derechos conexos, los cuales se efectivizan mediante la acción constitucional del ha-beas data y que se refiere al derecho de información. Por el cual, el responsable de tratamiento debeinformar al titular del dato, no solo sobre el derecho de acceso que ostenta sino sobre la finalidad o fi-nalidades de un la recogida de datos, del tratamiento, el origen y destino de información personal y eltiempo de vigencia del archivo o banco de datos.

Difusión de la información por autorización del titular o la ley: Otro de los derechos que se consagraen la nueva composición del texto constitucional del 2008 es aquel referido a que “Las personas res-ponsables de los bancos o archivos de datos personales podrán difundir la información archivada conautorización de su titular o de la ley”; de este modo se establece un deber de abstención de difusiónde la información, si previamente el responsable del fichero no cuenta con la autorización del titulardel dato personal o es posible esta mencionada difusión por permitirlo expresamente la ley.

Medidas de seguridad: Asimismo, aparece en el texto de la Constitución vigente un principio propiode la protección de datos personales acerca de las medidas de seguridad. Sin embargo, llama la atencióncomo el texto solo las propone como obligatorias para aquellos datos considerados sensibles y no paratodos los datos personales. Esta postura normativa no permite el cumplimiento de aquellos principiosque garantizan la efectiva vigencia del derecho a la protección de datos.

Derecho ante la simple negativa de acceso por parte del responsable del fichero: Al igual que en laversión de la Constitución de 1998, en el caso de que el funcionario no accediere a las peticiones deacceso, rectificación, cancelación o anulación de los datos, se puede acceder a un juez. Ahora bien, ladiferencia radica en que en la versión anterior a la vigente este derecho de acudir ante juez competentesolo operaba cuando los datos eran erróneos o afectaban ilegítimamente los derechos. Mientras queen la norma vigente para solicitar al juez su intervención, basta la simple negativa del administradordel archivo o base de datos, sin importar si el dato es erróneo o afecta sus derechos. En suma, se con-vierte en una aplicación del derecho a la libre autodeterminación informativa, por la cual cada personapuede decidir sobre qué datos entrega a determinada persona, en qué contextos, con qué finalidadesy consecuencias bajo su propio criterio y voluntad.

No obstante, pese a esa redacción constitucional que manifiestamente pretende el respeto a la autode-terminación informativa, aparece una limitación constante en el artículo 50 de la Ley Orgánica de Ju-risdicción y Control Constitucional. Allí nuevamente nos vuelve al sistema anterior de protección,pues señala el ámbito de protección por el cual se podrá interponer la acción de habeas data en loscasos de negativa de acceso o de negativa en la actualización, rectificación, eliminación o anulaciónúnicamente cuando los datos fueren erróneos o afecten sus derechos; o cuando se da un uso de la in-formación personal que viole un derecho constitucional, sin autorización expresa, salvo cuando existaorden de jueza o juez competente.

Solicitar indemnización: En la versión de la Constitución de 1998 se mencionaba que el afectadopodía demandar indemnización por la falta de atención del funcionario que le causare perjuicio, res-pecto de su solicitud de actualización, rectificación, eliminación o anulación, cuando los datos perso-nales fueren erróneos o afectaren ilegítimamente sus derechos. El nuevo texto constitucional amplíael rango de cobertura por cuanto establece de forma abierta que la “persona afectada podrá demandarpor los perjuicios ocasionados”, cualquiera sea la naturaleza de estos; sin embargo, durante los debatesconstituyentes esta claridad no estuvo manifiesta. En varias intervenciones se argumentaba la necesidad


de la existencia de un dato erróneo o de una transgresión o un daño ilegítimo a un derecho constitu-cional para que el habeas data opere (Asamblea Constituyente 2008 de Ecuador, Acta No. 76, P. 12).La apertura de la norma tiene su razón de ser en la medida en que los perjuicios sufridos por un titularno solo pueden provenir de estas dos únicas fuentes, sino de un daño o perjuicio causado por el in-cumplimiento de cualquiera de las obligaciones de los titulares de un fichero o de los principios queregulan la protección de datos personales.

Datos relacionados con defensa nacional: Se elimina la frase: “La ley establecerá un procedimientoespecial para acceder a los datos personales que consten en los archivos relacionados con la defensanacional”. La vigente Constitución elimina la concepción de defensa nacional para sustituirla por unconcepto más amplio denominado seguridad integral,3 el cual consta en el artículo 393 de la CRE;pero en ninguna parte del texto constitucional realiza alusión alguna a la forma en la que deberá ac-cederse a este tipo de datos, por lo que se entiende que deberá utilizarse de forma general la garantíajurisdiccional de habeas data, teniendo como límite lo señalado en la Ley de Seguridad Pública delEstado, que clasifica a la información producto resultante de las investigaciones o actividades que re-alizan los organismos de seguridad, en reservada, secreta y secretísima, y que, dependiendo de su na-turaleza, pueden o no ser facilitadas al peticionario.4

El Habeas data tutela varios derechos fundamentales: Hasta antes de la vigencia de la Constituciónde 2008, a nivel jurisprudencial, se consideraba al habeas data como la materialización del derecho ala intimidad. Actualmente, la garantía constitucional del habeas data, conforme su nuevo contenido,cobija no solo a la intimidad, sino al buen nombre, el honor, la imagen y la propia voz, así como alahora autónomo e independiente derecho a la protección de datos personales. Esto debido a que todosestos derechos descansan en la necesidad de salvaguardar los datos de las personas para garantizar sudignidad.

[...] Naturaleza: La acción de hábeas data es la garantía constitucional que le permite a la persona na-tural o jurídica, acceder a la información que sobre sí misma reposa en un registro o banco de datosde carácter público o privado, a fin de conocer el contenido de la misma y de ser el caso, exigir su ac-tualización, rectificación, eliminación o anulación cuando aquella información le causan algún tipode perjuicio, a efectos de salvaguardar su derecho a la intimidad personal y familiar. Contenido: Laacción constitucional de hábeas data, protegerá el derecho a la intimidad, la honra, la integridad psi-

3 La seguridad integral supera la visión estado-céntrica por la cual se protegía al Estado de agresiones externas o al Go-bierno, su territorio y soberanía, para garantizar su supervivencia, ya que existen otros grupos no estatales que puedenafectar a la seguridad de una sociedad o que le procuran amenazas, como por ejemplo el terrorismo. Surge el conceptode seguridad integral, ya no solo del Estado como objeto de referencia, ni tampoco solo del ser humano (antropocén-trico), sino incluso del medioambiente, desde una visión biocéntrica de protección, por ejemplo de la soberanía ali-mentaria, recursos no renovables, tierras cultivables. Los actores en este entorno, ya no son únicamente las FuerzasArmadas como protectoras de agresiones externas o la protección del orden público por intermedio de la Policía Na-cional, sino que se articula un sistema integral que incluye servicios de emergencia como ECU 911, bomberos, defensacivil, entre otros.

4 ASAMBLEA NACIONAL DEL ECUADOR, [Ley de Seguridad Pública y del Estado. Ley 0, ROS, No. 35 (28 de septiembre de2009)]: “Artículo 19.- De la clasificación de la información de los organismos de seguridad.- La Secretaría Nacionalde Inteligencia y los organismos de seguridad podrán clasificar la información resultante de las investigaciones o ac-tividades que realicen, mediante resolución motivada de la máxima autoridad de la entidad respectiva. La informacióny documentación se clasificará como reservada, secreta y secretísima. El reglamento a la ley determinará los funda-mentos para la clasificación, reclasificación y desclasificación y los niveles de acceso exclusivos a la informaciónclasificada. Toda información clasificada como reservada y secreta será de libre acceso luego de transcurridos cincoy diez años, respectivamente; y si es secretísima luego de transcurridos quince años. La información clasificada comosecretísima será desclasificada o reclasificada por el Ministerio de Coordinación de Seguridad o quien haga sus veces.De no existir reclasificación, se desclasificará automáticamente una vez cumplido el plazo previsto de quince (15)años. En ejercicio de los derechos y garantías individuales los ciudadanos podrán demandar ante la Corte Constitu-cional la desclasificación de la información en el evento de que existan graves presunciones de violaciones a los de-rechos humanos o cometimiento de actos ilegales”.


cológica de la persona, puesto que no toda la información relativa a estos tiene el carácter de públicay por tanto de divulgable en forma libre. En efecto, existen asuntos relativos a su familia, sus creenciasreligiosas y espirituales, su filiación política, su orientación sexual, entre otras, que en caso de ser di-vulgadas de forma inadecuada e inoportuna podrían ocasionarle serios perjuicios en la esfera personal.Alcance: La acción constitucional de hábeas data tiene lineamientos específicos que deben ser obser-vados por quien ejerce la legitimación activa de la misma, quien de forma especial, al redactar su pre-tensión deberá estructurar su pedido de conformidad con los parámetros establecidos para el efectoen la Constitución, en la Ley Orgánica de Garantías Jurisdiccionales y Control Constitucional y en lajurisprudencia vinculante emitida por este Organismo sobre dicha acción lo cual coadyuvará, en primerlugar a que la acción en comento no se desnaturalice y en segundo lugar, a que la administración dejusticia constitucional sea más ágil y eficaz para el fin que se persigue…” (Corte Constitucional delEcuador, Sentencia No. 182-15-SEP-CC.).

La Ley Orgánica de Garantías Jurisdiccionales y Control Constitucional (LOGJCC) desarrolló en elCapítulo VI esta acción constitucional en el título Acción de hábeas data. El artículo 49 de la mencio-nada ley repite de forma idéntica la norma constitucional, pero adiciona los siguientes elementos:

Datos que deben permanecer en archivos públicos: No podrá solicitarse la eliminación de datos per-sonales que por disposición de la ley deban mantenerse en archivos públicos. De tal forma que se es-tablece un límite a uno de los contenidos de las facultades del derecho a la protección de datos, puespor medio de la ley se establecen aquellos archivos que, además de recoger datos personales, debenser públicos en garantía del bien común.

Derecho de rectificación en medios de comunicación: El penúltimo inciso del citado artículo 59 de laLOGJCC señala que “las presentes disposiciones son aplicables a los casos de rectificación a queestán obligados los medios de comunicación, de conformidad con la Constitución”. En otras palabras,se realiza una extensión al alcance del habeas data, dado que no solo abarcaría el derecho a la protec-ción de datos personales, intimidad, honor, buen nombre, imagen y voz, sino que se incluiría entresus derechos tutelados, el derecho de rectificación en medios de comunicación social que consta en elnumeral 7 del artículo 66 de la CRE.

“Artículo 66.- Se reconoce y garantizará a las personas: [...] 7. El derecho de toda per-sona agraviada por informaciones sin pruebas o inexactas, emitidas por medios de co-municación social, a la correspondiente rectificación, réplica o respuesta, en formainmediata, obligatoria y gratuita, en el mismo espacio u horario”

Toda vez que, en estos casos, el derecho de rectificación no solo sería del dato en el archivo o base dedatos al que se pertenezca, sino que como medida de reparación por el abusivo ejercicio del derechoa la libertad de expresión deberá efectuarse una rectificación, réplica o respuesta, en forma inmediata,obligatoria y gratuita, en el mismo espacio u horario en el que se transmitió la información que causóel perjuicio.

Reparación integral: Si bien el artículo 86 de la CRE establece, como disposición común a las garan-tías jurisdiccionales entre las que consta el habeas data, la obligación del juez de resolver la causa or-denando la reparación integral, es la Ley Orgánica de Garantías Jurisdiccionales y ControlConstitucional la que establece el concepto de reparación integral, el cual incluirá todas las obligacio-nes materiales e inmateriales que el juez determine para hacer efectiva dicha reparación. Dicho deotro modo, el habeas data no se limita a un derecho indemnizatorio compensatorio de carácter eco-nómico, sino que faculta a solicitar todas aquellas acciones que permitan volver al estado anteriorcomo si el daño no se hubiese producido jamás.


4. CLASIFICACIÓN DEL HABEAS DATA

A lo largo de este estudio por la doctrina, las diversas constituciones que ha tenido el Ecuador y su re-lación con la normativa vigente, esto es del análisis del artículo 92 de la Constitución, se puede colegirlos tipos de habeas data reconocidos en el país:

Habeas data informativo, entendido como aquel que solo procura recabar la información necesariapara simplemente localizarla, conocer su finalidad, exigir la exhibición de los datos que se encuentranalmacenados, saber quién otorgó los datos que constan en los ficheros, para con ello verificar si su re-colección fue legal.

Habeas data aditivo o actualizador, por el cual el ciudadano tiene derecho a exigir la actualización desus datos.

Habeas data rectificador o correctivo, por el cual la persona tiene derecho a exigir la rectificación desus datos cuando estos fueran erróneos o incompletos.

Habeas data exclutorio o cancelatorio, cuando el ciudadano manifiesta su voluntad de excluir losdatos, sobre todo, cuando se trata de datos sensibles.

Habeas data indemnizatorio, que permite exigir al juez una indemnización cuando el funcionario noha cumplido con la actualización, rectificación, eliminación o anulación de los datos. Se recalca queEcuador es el único país que ha elevado a rango constitucional la indemnización; el resto de paísessuele incluirlos a nivel legal.

Habeas data reparatorio, reconocido en el numeral 3 del artículo 86 de la CRE y concordante con elartículo 18, el cual señala en las disposiciones comunes aplicables a todas las garantías constituciona-les, entre las que se incluye al habeas data. La mencionada norma, en su parte pertinente, señala: “Lajueza o juez resolverá la causa mediante sentencia, y en caso de constatarse la vulneración de derechos,deberá declararla, ordenar la reparación integral materia e inmaterial y especificar e individualizar lasobligaciones, positivas y negativas, a cargo del destinatario de la decisión judicial, y las circunstanciasen que deban cumplirse”. En el mismo sentido, la Ley Orgánica de Garantías Jurisdiccionales y ControlConstitucional (LOGJCC) establece en el artículo 49 lo siguiente: “El concepto de reparación integralincluirá todas las obligaciones materiales e inmateriales que el juez determine para hacer efectivadicha reparación”. En conclusión, Ecuador es el primer país en reconocer un nuevo tipo de habeasdata que supera la visión tradicional de carácter económico, y que permite solicitar una indemnizaciónque incluya elementos inmateriales que propicie restituir el daño causado a un Estado, lo más cercanoa considerar que este no se ha producido.

Además, con respecto a esta clase de habeas data, se puede señalar que, como la norma exige la exis-tencia de un daño a un derecho fundamental del afectado, esto es a la intimidad, honor, identidad,imagen, etc., el habeas data reparador opera solo si el funcionario que posee los ficheros no ha pro-cedido a la actualización, rectificación, eliminación o anulación de los datos cuando estos son erróneoso afectaren ilegítimamente sus derechos. Esto no ocurre con el derecho a la autodeterminación infor-mativa para el cual la simple limitación a la libertad informativa de un titular de los datos es suficiente,pues es a este al que le corresponde decidir sobre los datos existentes, si desea o no mantenerlos dis-ponibles, sin la necesidad de probar que el uso de estos datos haya causado un daño o estos estén in-completos, incorrectos, etc. Esta última afirmación no es del todo cierta, en virtud del contenido delartículo 50 de la LOGJCC, el cual establece una limitación cuando señala que solo podrá interponerla acción de habeas data cuando se niega el acceso; cuando se niega la solicitud de actualización, rec-tificación, eliminación o anulación de datos si estos fueren erróneos o afecten sus derechos; o cuandose da un uso de la información personal que viole un derecho constitucional, sin autorización expresa,salvo cuando exista orden de jueza o juez competente. En otros términos, deben cumplirse cualquierade estas causas cuando el derecho a la autodeterminación informativa no necesita de ninguna de estascondiciones en virtud de ser una forma de ejercicio del derecho a la autoconstrucción social e indivi-dual de una persona.


5. INNOVACIÓN CONSTITUCIONAL ECUATORIANA: LA REPARACIÓN INTEGRAL ENLA PROTECCIÓN DE DATOS PERSONALES Y LA NUEVA CONFIGURACIÓN DEL HA-BEAS DATA RESTAURADOR. EL HABEAS DATA NO LIMITADO A LA SIMPLE INDEM-NIZACIÓN

Dentro del sistema de protección de derechos instaurado en la vigente Constitución, uno de los ele-mentos fundamentales es la incorporación de la reparación integral. El artículo 86 de la CRE que dainicio al Capítulo Tercero, que se refiere a las Garantías Constitucionales, señala las disposiciones ge-nerales que regulan de forma obligatoria a las diferentes garantías jurisdiccionales existentes, entrelas cuales consta el habeas data. El numeral tercero del citado artículo 86, expresamente, incluyecomo obligación de los jueces, al momento de dictar sus sentencias, ordenar la reparación integralmaterial e inmaterial del derecho lesionado; además de especificar e individualizar las obligaciones,positivas y negativas, del destinatario de la decisión judicial y las circunstancias en que dichas obli-gaciones deban cumplirse.

Por tratarse de derechos fundamentales, las garantías constitucionales que los protegen no puedentener como única consecuencia la reparación económica. Motivo por el cual, la reparación integral esla pertinente, ya que permite no solo reparar los daños materiales (daño emergente, lucro cesante, pro-yecto de vida, costas y gastos), sino también los daños inmateriales5 e incluso dictarse otras formasde reparación propias del sistema de defensa de derechos humanos como son las medidas de satisfac-ción6 (que buscan reparar el daño inmaterial, que no tienen alcance pecuniario) y las garantías de norepetición7 (medidas de alcance o repercusión pública) (Programa de educación. Reformas normativaslocales. Corte Interamericana de Derechos Humanos, Caso Gómez Palomino vs. Perú, conforme haseñalado en varias resoluciones la Corte Interamericana de Derechos Humanos: Blanco Romero yotros; García Asto y Ramírez Rojas; y Gómez Palomino).

Es indispensable incluir y aplicar el principio de la restituto in integris que se diferencia de la indem-nización, porque se configura como resarcimiento inmaterial, y además determina que el proceso yano termina con la sentencia, sino solo cuando se haya conseguido la reparación integral del daño (Sto-rini, 2009, p. 307) Por tal motivo, se ha señalado que la propia sentencia es un mecanismo de repara-ción;8 además la materialización de la reparación integral es uno de los mecanismos fundamentales

5 “El daño inmaterial puede comprender tanto los sufrimientos y las aflicciones causados a las víctimas directas y a susallegados, como el menoscabo de valores muy significativos para las personas, así como las alteraciones, de carácterno pecuniario, en las condiciones de existencia de la víctima o su familia. No siendo posible asignar al daño inmaterialun preciso equivalente monetario, sólo puede, para los fines de la reparación integral a las víctimas, ser objeto decompensación, y ello de dos maneras. En primer lugar, mediante el pago de una cantidad de dinero o la entrega debienes o servicios apreciables en dinero, que el Tribunal determine en aplicación razonable del arbitrio judicial y entérminos de equidad. Y en segundo lugar, mediante la realización de actos u obras de alcance o repercusión públicos,tales como la transmisión de un mensaje de reprobación oficial a las violaciones de los derechos humanos de que setrata y de compromiso con los esfuerzos tendientes a que no vuelvan a ocurrir, que tengan como efecto la recuperaciónde la memoria de las víctimas, el reconocimiento de su dignidad y el consuelo de sus deudos”. CORTE INTERAMERICANA

DE DERECHOS HUMANOS, [Caso Gómez Palomino vs. Perú], p. supra nota 11, ¶ 130.

6 Obligación de investigar los hechos denunciados, identificar, juzgar y sancionar a los responsables. Obligación debuscar los restos mortales de la víctima y entregarlos a sus familiares. Publicación de Sentencia de la Corte. Asistenciamédica y psicológica. CORTE INTERAMERICANA DE DERECHOS HUMANOS, [Caso Gómez Palomino vs. Perú], cit. Reco-nocimiento simbólico [por parte del Estado] destinado a la recuperación de la memoria histórica de las personasdesaparecidas. CORTE INTERAMERICANA DE DERECHOS HUMANOS, [Caso Blanco Romero y Otros vs. Venezuela]. Serobjeto de una satisfacción de carácter moral públicamente y con trascendencia. (Disculpas públicas) CORTE INTERA-MERICANA DE DERECHOS HUMANOS, [Caso García Asto y Ramírez Rojas].

8 CORTE INTERAMERICANA DE DERECHOS HUMANOS, [Caso Raxcacó Reyes vs. Guatemala], p. supra nota 4, ¶ 131. En elmismo sentido las siguientes resoluciones: CORTE INTERAMERICANA DE DERECHOS HUMANOS, [Caso Acosta Calderónvs. Ecuador], p. supra nota 3, ¶ 159; [Caso Yatama vs. Nicaragua], p. supra nota 3, ¶ 260; [Caso “Masacre de Ma-piripán” vs. Colombia], p. supra nota 1, ¶ 285; [Caso Gutiérrez Soler vs. Colombia], p. supra nota 4, ¶ 83.


para garantizar la efectividad de las decisiones judiciales.9 En la sentencia No. 001-10-PJO-CC constaexpresamente que:

[...] el mecanismo de cumplimiento de sentencias propende a la materialización de la reparación inte-gral adoptada dentro de una garantía jurisdiccional. La Corte Constitucional, de oficio o a petición departe, considerando que de por medio se encuentra la materialización de la reparación integral, y sinnecesidad de que comparezca exclusivamente el afectado, está en la obligación de velar por el cum-plimiento de las sentencias constitucionales (Corte Constitucional del Ecuador, Sentencia No. 0023-2008-HD.

Consecuente con la figura de reparación integral desarrollada ampliamente por el sistema interameri-cano de derechos humanos, el artículo 18 de la LOGJCC recoge una lista variada de mecanismos dis-tintos a la simple indemnización que pretenden, en la medida de lo posible, devolver el daño al estadoanterior, como si este nunca se hubiese producido. En tal caso, de ser procedente la declaración devulneración de derechos se ordenará la reparación integral por el daño material e inmaterial. Pero ade-más, conforme el mencionado artículo, la reparación integral:

[...] procurará que la persona o personas titulares del derecho violado gocen y disfruten el derecho dela manera más adecuada posible y que se restablezca a la situación anterior a la violación. La reparaciónpodrá incluir, entre otras formas, la restitución del derecho, la compensación económica o patrimonial,la rehabilitación, la satisfacción, las garantías de que el hecho no se repita, la obligación de remitir ala autoridad competente para investigar y sancionar, las medidas de reconocimiento, las disculpas pú-blicas, la prestación de servicios públicos, la atención de salud.

Además del régimen de aplicación general para las garantías constitucionales constante en el artículo86 CRE que establece la reparación integral; la parte final del artículo 94 de la CRE, que desarrolla laacción de habeas data, faculta a la persona afectada a demandar por los perjuicios ocasionados.

Estos perjuicios podrán ser reparados integralmente, no solo en aplicación directa del texto constitu-cional invocado, sino en cumplimiento de lo dispuesto por la Ley Orgánica de Garantías Jurisdiccio-nales y Control Constitucional en el artículo 49 que aclara, respecto de las sentencias de garantíasjurisdiccionales, en este caso del habeas data, que “El concepto de reparación integral incluirá todaslas obligaciones materiales e inmateriales que el juez determine para hacer efectiva dicha reparación”.

Conforme se ha analizado previamente, el habeas data en la Constitución vigente se configura comouna garantía jurisdiccional que no se limita a regularizar documentos, datos genéticos, bancos o ar-chivos de datos personales e informes sobre sí mismos o sobre sus bienes, o sea, al acceso, eliminación,actualización, rectificación o anulación. Sino que, entre sus finalidades también se incluye la de veri-ficar que estos datos personales no hayan sido utilizados como mecanismos de discriminación, me-diante valoraciones equivocadas de datos o por “agresiones a la dignidad y a la libertad de la personaprovenientes de un uso ilegítimo del tratamiento mecanizado de datos”. En este sentido, el artículo 50de la LOGJCC señala que “Se podrá interponer la acción de hábeas data en los siguientes casos: [...]c) Cuando se da un uso de la información personal que viole un derecho constitucional, sin autorizaciónexpresa, salvo cuando exista orden de jueza o juez competente”.

9 El numeral 4 del artículo 86 de la CRE establece sistemas de responsabilidad tanto para personas públicas como privadasen el caso de incumplimiento de una sentencia en materia de garantías jurisdiccionales. El artículo 436 numeral 9otorga competencia a la Corte Constitucional para conocer y sancionar este incumplimiento. Ante la necesidad deuna justicia efectiva, no es suficiente con dictar una sentencia que favorezca a una de las partes, sino que es menesterque esta se cumpla por parte de los obligados; y que, aun contra su voluntad, las autoridades constitucionales la hagancumplir. La sentencia No. 001-10-PJO-CC considera que “los mecanismos de cumplimiento de sentencias, resolu-ciones y dictámenes constitucionales se constituyen per se en auténticas garantías jurisdiccionales de protección y re-paración de derechos constitucionales, si no existieran mecanismos de cumplimiento como los señalados, de nadaserviría la presencia de garantías para la protección de todos los derechos constitucionales”. Esta afirmación juris-prudencial, se sustenta a su vez en otras sentencias provenientes del sistema internacional humanitario, dictadas porla Corte Interamericana en los casos Baena Ricardo y otros, y Acevedo Jaramillo que señala: “La efectividad de lassentencias depende de su ejecución. El proceso debe tender a la materialización de la protección del derecho recono-cido en el pronunciamiento judicial mediante la aplicación idónea de dicho pronunciamiento.”


De ese modo, la voluntad del legislador al incluir en la norma relativa al habeas data un acápite sobrela reparación integral tiene como intencionalidad que, mediante la reparación integral se logren evitarpotenciales, existentes o futuros daños no solo con la supresión, eliminación, cancelación del dato,sino corregir actos discriminatorios y establecer otras obligaciones materiales e inmateriales para hacerefectiva la reparación.

En otras palabras, el carácter reparador del habeas data garantiza el verdadero contenido del derechoa la protección de datos, relativo no solo a la autodeterminación informativa, sino sobre todo a la eli-minación a título de reparación integral, de todas aquellas consecuencias dañosas y discriminatoriasque hayan provenido de la utilización de datos, no solo de aquellos sensibles sino incluso de los inocuosque, sin embargo, causan transgresiones a la dignidad y a la libertad de las personas.

Esto debido a que, el derecho a la protección de datos personales es un derecho instrumental, su trans-gresión no solo afecta a la autodeterminación informativa, la libertad informática, los derechos Acceso,Rectificación, Cancelación y Oposición (ARCO) y varios principios específicos sino que “en un sen-tido más extenso, la protección de cualesquiera derechos fundamentales y libertades públicas de laspersonas frente al tratamiento automatizado de sus datos de carácter personal” Agencia Española deProtección de Datos, “Memoria 2001”. Es decir que, esta transgresión pueda afectar a un titular, alfinal de cuentas, ya sea por cuestiones discriminatorias o por inadecuadas valoraciones de habilidadeso inhabilidades, en sus otros derechos como el de acceso a la educación, al trabajo, a la salud, a la vi-vienda, entre otros.

El reconocimiento constitucional del derecho a la protección de datos y del habeas data, así como eldesarrollo del habeas data en la Ley Orgánica de Garantías Jurisdiccionales y Control Constitucional,establecen que en Ecuador existe un progreso normativo en el derecho y su garantía constitucional,que incluso supera a otras legislaciones, al reconocer un nivel aun mayor de protección mediante elhabeas data reparador o reparatorio; no obstante, aún prevalecen en nuestros tribunales criterios ex-traídos del anterior sistema de protección de los datos personales asociados a la intimidad.

Dicho de otra manera, aún no se ha configurado a nivel jurisprudencial una aplicación de la verdaderanaturaleza del derecho a la protección de datos de carácter personal como garantía de otros derechos,puesto que aunque se reconoce en varias resoluciones del año 2008 que el habeas data es “una garantíaconstitucional que tiene por objeto proteger el acceso a la información personal, así como el derechoa la honra, a la buena reputación y a la intimidad personal y familiar; en consecuencia es derecho detoda persona para acceder a los documentos, banco de datos o informes que sobre sí misma, o sus bie-nes consten en entidades públicas o privadas, así como a conocer el uso que se haga de ellas y su pro-pósito”.10 Sin embargo, las sentencias en su parte resolutiva aún no incluyen la satisfacción de otrosderechos fundamentales distintos a la intimidad o a otros derechos fundamentales incluidos el derechoa la protección de datos personales.

Para ejemplificar lo señalado, la Corte Constitucional ecuatoriana en Sentencia No. 0019-09-SEP-CC de 2009-08-06, Caso 0014-09-EP, Publicado en el RO, No. 018 (03 de septiembre de 2003) dice:

[...] El habeas data es una garantía que protege varios derechos, tales como: la información, la honra,la buena reputación y la intimidad. Al ser el habeas data, una garantía jurisdiccional cautelar, no pro-cede por esta vía la declaración o reconocimiento de derechos, mucho menos de aquellos que soninexistentes [...]. En conclusión, en estricto cumplimiento a la naturaleza del habeas data, no pro-cede, mediante esta vía, declarar la condición de jubilado y mucho menos disponer la restituciónde una condición inexistente... (énfasis añadido).

10 Ecuador, CORTE CONSTITUCIONAL DEL ECUADOR, [Sentencia No. 0074-2008-HD], en ROS, No. 8 (4 de septiembre de2009); [Sentencia No. 0039-2008-HD], en ROS, No. 86 (05 de diciembre de 2008); Sentencia No. 0076-2008-HD],en ROS, No. 111 (25 de marzo de 2009); Sentencia No. 0051-2008-HD, en ROS, No. 531 (18 de febrero de 2009);Sentencia No. 0079-2008-HD], en ROS, No. 8 (4 de septiembre de 2009); Sentencia No. 0003-2009-HD, en ROS,No. 122 (13 de mayo de 2009).


Como se lee en el texto citado, no se admite a efecto de reparación integral el que pueda declararse lavulneración de un derecho, como en este caso el de jubilación, y en consecuencia dictaminar en lasentencia no solo la rectificación del dato en un fichero, sino su efectiva vigencia y reconocimientono solo de carácter económico, sino de restablecimiento del derecho vulnerado, tal como señala la na-turaleza de la reparación integral.

6. DERECHO A INDEMNIZACIÓN POR DAÑOS CAUSADOS EN EL REGLAMENTO GE-NERAL DE PROTECCIÓN DE DATOS PERSONALES.

El artículo 82 del Reglamento General de Protección de Datos Personales europeo y el considerando(146) señala que: “toda persona que haya sufrido daños y perjuicios materiales o inmateriales comoconsecuencia de un tratamiento en infracción del presente Reglamento tendrá derecho a recibir delresponsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos”.

Se aclara que además del titular del dato, puede presentar en su nombre una reclamación ante la au-toridad de control, ejercer el derecho a la tutela judicial en nombre de los interesados, o ejercer el de-recho a recibir una indemnización en nombre de estos, una entidad, organización o asociación sinánimo de lucro constituida con arreglo al derecho de cada país que sea de interés público y actúe enel ámbito de la protección de los datos personales. Asimismo, un Estado miembro puede reconocer auna entidad, organización o asociación el derecho a presentar una reclamación con independencia delmandato de un interesado y del derecho a la tutela judicial efectiva, cuando existan motivos para creerque se han vulnerado los derechos de un interesado como consecuencia de un tratamiento de datospersonales que sea contrario al presente reglamento. Esa entidad, organización o asociación no puedeestar autorizada a reclamar una indemnización en nombre de un interesado al margen del mandato deeste último (considerando [142], Reglamento General de Protección de Datos (RGPD).

Desde la perspectiva de una obligación, el artículo 82 y el considerando (146) del RGPD señalan quecualquier responsable o encargado del tratamiento, es decir quien participe en la operación de trata-miento, deberá indemnizar daños y perjuicios que pueda sufrir una persona, por actos delegados y deejecución, como consecuencia de un tratamiento que no cumpla o en infracción del presente regla-mento, o de otras normas de la Unión Europea, o de cada país miembro, o en el caso de los encargadoshaya actuado al margen o en contra de las instrucciones legales del responsable.

Cabe destacar que si los responsables o encargados participan en el mismo tratamiento, cada respon-sable o encargado debe ser considerado responsable de la totalidad de los daños y perjuicios. No obs-tante, si se acumulan en la misma causa, la indemnización puede prorratearse en función de laresponsabilidad de cada responsable o encargado por los daños y perjuicios causados por el trata-miento, siempre que se garantice la indemnización total y efectiva del interesado que sufrió los dañosy perjuicios. Todo responsable o encargado que haya abonado la totalidad de la indemnización puedeinterponer recurso posteriormente contra otros responsables o encargados que hayan participado enel mismo tratamiento, al tenor del artículo 82 y del considerando (146) del RGPD.

Lo importante es que los interesados deben recibir una indemnización total y efectiva por los daños yperjuicios sufridos, independientemente que esta sea pagada por el responsable o el encargado, puestoque cada uno tendrá que asumir lo que le corresponda atendiendo su nivel de respectiva responsabi-lidad.


CONCLUSIONES:

La normativa ecuatoriana supera el contenido tradicional de habeas data y establece no solo su carácterinformativo, aditivo, rectificador y correctivo, exclutorio, cancelatorio, indemnizatorio etc., sino es-pecialmente su finalidad reparadora.

La norma ecuatoriana no se limita al tradicional sistema de responsabilidad por daño causado que per-mite el derecho a recibir una indemnización, sino que utiliza una institución propia de los derechoshumanos: la reparación integral.

El habeas data reparatorio tiene como finalidad evitar o eliminar daños a la dignidad del titular deldato a través no solo de la supresión, eliminación, cancelación del dato, sino sobre todo corregir losactos discriminatorios producidos y además de establecer obligaciones materiales también incorporaraquellas inmateriales que puedan para hacer efectiva una debida reparación integral.

La Constitución ecuatoriana puede contribuir al debate internacional, a través de la garantía constitu-cional de habeas data reparador pues incorpora una ampliación de enfoque que permita dimensionarlos daños producidos y además de indemnizarlos permitir que puedan evitarse e incluso eliminarse enla medida de lo posible la trasgresión a otros derechos causados por un inadecuado tratamiento dedatos personales.

El carácter instrumental del derecho a la protección de datos lo convierte en un derecho precauteladorde otros derechos fundamentales, de tal forma que, ante la transgresión de este derecho no solo se in-demnice pecuniariamente sino que pueda concebirse un enfoque integral que además de reparar losdaños materiales (daño emergente, lucro cesante, proyecto de vida, costas y gastos), también asumalos daños inmateriales pero sobre todo incluya otras formas de reparación propias del sistema de de-fensa de derechos humanos como son las medidas de satisfacción y las garantías de no repetición.

La reparación integral que incluye una visión completa del esfuerzo por remediar los daños inmate-riales de los otros derechos fundamentales que pueden verse afectados por el inadecuado tratamientode datos personales es un enfoque que no constan desarrollado ni aún en el estándar más avanzado deprotección mundial, el Reglamento de Protección de Datos Personales europeos y que a través delpresente trabajo pretende abrir un debate al respecto.


BIBLIOGRAFIA

Agencia Española de Protección de Datos, “Memoria 2001”. ‹http://www.agpd.es/portalwebAGPD/LaA-•gencia/informacion_institucional/common/memorias/2001/MEMORIA_2001.pdf◊. Consulta: 21 de enerode 2017.

Asamblea Constituyente 2008 de Ecuador, [Acta No. 76], 12.•

Asamblea Nacional del Ecuador, [Ley De Seguridad Pública Y Del Estado. Ley 0, Ros, No. 35 (28 de sep-•tiembre de 2009)]:

Ecuador, Corte Constitucional del Ecuador, [Sentencia No. 0023-2008-HD].•

Ecuador, Corte Constitucional del Ecuador para el Período de Transición, [Sentencia No. 068-2010-SEP-•CC].

Ecuador, Corte Constitucional del Ecuador, [Sentencia No. 001-2014-PJO-CC].•

R. Cesario, Hábeas Data (Buenos Aires: Editorial Universidad, 2001)•

Corte Interamericana De Derechos Humanos, [Caso Gómez Palomino vs. Perú], cit. Reconocimiento sim-•bólico [por parte del Estado] destinado a la recuperación de la memoria histórica de las personas desapare-cidas.

Corte Interamericana De Derechos Humanos, [Caso Blanco Romero y Otros vs. Venezuela]. Ser objeto de•una satisfacción de carácter moral públicamente y con trascendencia. (Disculpas públicas)

Corte Interamericana De Derechos Humanos, [Caso García Asto Y Ramírez Rojas].•

Corte Interamericana De Derechos Humanos, [Caso Gómez Palomino Vs. Perú]. Programa De Educación.•Reformas Normativas Locales.

Corte Interamericana De Derechos Humanos, [Caso Raxcacó Reyes Vs. Guatemala] •

Corte Interamericana De Derechos Humanos, [Caso “Masacre De Mapiripán” Vs. Colombia]•

Corte Interamericana De Derechos Humanos, [Caso Gutiérrez Soler vs. Colombia]•

O. Gozaíni, Hábeas Data: Protección De Datos Personales: Doctrina Y Jurisprudencia (Buenos Aires: Ru-•binzal-Culzoni Editores, 2001).

A. Grijalva Jiménez. “Interpretación Constitucional, Jurisdicción Ordinaria Y Corte Constitucional”, En•La Nueva Constitución Del Ecuador: Estado, Derechos E Instituciones (Quito: Corporación Editora Na-cional, 2009), 278.

G. Peyrano, Régimen legal de los datos personales y hábeas data (Buenos Aires: Lexis Nexis DePalma,•2002).

Real Academia de la Lengua Española “Diccionario de la lengua española - Edición del Tricentenario”.•https://dle.rae.es/?id=3SrKnVZ. Consulta: 21 de enero de 2017.

C. Storini, “Las garantías constitucionales de los Derechos Fundamentales en la Constitución Ecuatoriana•de 2008”, en La Nueva Constitución del Ecuador. Estado, derechos e instituciones (Quito: CorporaciónEditora Nacional, 2009), 287-8.


«EL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS

PERSONALES PARA EUROPA:

REFLEXIONES DESDE LA EXPERIENCIA LATINOAMERICANA»

«THE NEW PERSONAL DATA PROTECTION REGULATION FOR EUROPE:

REFLECTIONS FROM THE LATIN AMERICAN EXPERIENCE»

Milagros Katherine Olivos Celis1

1 Máster en Derecho por la Universidad de Zaragoza, España. Máster en Derecho y Empresa por la Universidad CatólicaSanto Toribio de Mogrovejo, Perú. Especialista en Derecho Internacional Corporativo por la Universidad ESAN,Perú. Especialista en Derecho de la Regulación por la Universidad de Piura, Perú.




ISSN 2530-4496 – AÑO 1, N° 6, 2019, PÁGS. 117-133

RESUMEN:

Durante los últimos años, son innumerables los progresos que se han logrado a través del uso de latecnología, así como extraordinarios son los efectos que éstos han generado, tanto en el campo social,político como económico. Sin embargo, estas actividades también han tenido efectos colaterales: unaintromisión arbitraria y desmedida en la vida privada. Desde hace más 35 años, el Derecho intentadar una respuesta a los fenómenos que día a día se presentan. En mayo del 2018 entró en vigencia elReglamento Europeo de Protección de Datos, una norma que intenta atender los desafíos que actual-mente se vienen afrontando. El presente estudio tiene como propósito conocer los cambios surgidoscomo consecuencia de la vigencia de dicha norma y describir cuál ha sido el impacto de esta regulaciónen América Latina. El artículo inicia con una breve descripción de la forma como surgieron los es-quemas regulatorios para la protección de datos a partir del tratamiento de la información personal,para luego detallar cuál ha sido la situación legislativa en Europa antes de la vigencia de la norma quese comenta. En la segunda parte se describe cuáles han sido los cambios introducidos por esta nuevanorma; para finalizar con algunas reflexiones respecto de esta nueva regulación desde lo que sucedeen los diferentes países de América Latina.

ABSTRACT:

In recent years, there have been countless progresses that have been made through the use oftechnology, as well as the extraordinary effects they have generated, both in the social, political andeconomic fields. However, these activities have also had collateral effects: an arbitrary and excessiveinterference in private life. For more than 35 years, the Law tries to give an answer to the phenomenathat appear every day. In May 2018, the European Data Protection Regulation entered into force, astandard that attempts to address the challenges that are currently being faced. The purpose of thisstudy is to know the changes that have arisen as a consequence of the validity of said norm and todescribe the impact of this regulation in Latin America. The article begins with a brief description ofhow regulatory schemes for data protection emerged from the treatment of personal information, tothen detail what has been the legislative situation in Europe before the rule is in force. The secondpart describes what the changes introduced by this new standard have been; to end with somereflections on this new regulation from what happens in the different countries of Latin America.

PALABRAS CLAVES:

Protección de datos personales, privacidad, tecnología, Reglamento de Protección Datos Personales.

INTRODUCCIÓN: EL TRATAMIENTO DE DATOS PERSONALES EN EL SIGLO XXI YLOS ESQUEMAS REGULATORIOS PARA SU PROTECCIÓN.

Durante los últimos años el desarrollo de la tecnología ha generado aportes significativos a la sociedad.Su intervención visible, o invisible, ha transformado nuestra vida cotidiana, logrando aportes impor-tantes en el quehacer diario. Estos aportes han tenido un impacto extraordinario en diferentes ámbitosde la vida tales como la salud, la educación, las finanzas e incluso las políticas públicas y las formasde gobierno de diferentes Estados.

Los avances tecnológicos que caracterizaron el siglo XXI se desplegaron a partir del uso de la inteli-gencia artificial, el big data, o el desarrollo del Internet de las cosas. La tecnología ha acortado tantolas distancias (llegando incluso a eliminar fronteras físicas) que hoy, la realidad empieza a parecersea algunas de las películas de ciencia ficción en las que alguien llega a un terminal en un sitio desco-nocido y es capaz de iniciar una operación que puede afectar el mundo entero.

El tratamiento masivo de información, especialmente de información personal, ha sido una de las prin-cipales consecuencias de todo este avance tecnológico; y hasta nuestros días ha llegado a convertirse

EL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS PERSONALES PARA EUROPA: REFLEXIONES DESDE LA EXPERIENCIA LATINOAMERICANA

en una de las características más resaltantes de la sociedad actual, y especialmente de la sociedad in-dustrial. Tanto las personas naturales como jurídicas, públicas o privadas, con el fin de mejorar susniveles de competitividad, utilizan cada vez con mayor frecuencia nuevos instrumentos que incre-mentan exponencialmente el uso, acceso y transferencia de datos personales. Así, por ejemplo, la ges-tión de procesos electorales a través de la biometría, el monitoreo de pronósticos con imágenessatelitales, las sucursales bancarias en teléfonos inteligentes, el diagnóstico médico con máquinas dealta especialización, la implementación de la historia clínica electrónica2, entre varios otros son algunasmuestras de ello. Todo esto genera en otras épocas eran impensables3.

Sin embargo, aun cuando son amplios sus beneficios y las ventajas que pueden obtenerse a partir desu perfeccionamiento y manejo, es ineludible ignorar los riesgos que dicho uso entraña; sobre todoporque el principal agente afectado es su creador: el ser humano, y con este, la sociedad en su conjunto.Esta afirmación no es apresurada ni novedosa, los riesgos del uso mal intencionado de la informaciónpersonal ya tienen un lugar en la historia. Sobre esto, cabe recordar el Censo de Población que tuvolugar en Alemania en 1933, a través del cual, bajo una aparente legitimidad y legalidad, y como unaacción estadística necesaria, el Estado se hizo de gran cantidad de información personal, que poste-riormente serviría para ejecutar uno de los mayores crímenes contra la humanidad durante la épocadel holocausto nazi4. La Ley que autorizó la realización del censo fue declarada inconstitucional en19835, sin embargo su ejecución permitió recoger una inimaginable cantidad de información impor-tante sobre diferentes grupos de personas, brindando a los nazis una importante herramienta de controlsocial sobre la población6. En la sentencia de 1983, el Tribunal Constitucional Federal Alemán pusode manifiesto la necesidad de crear mecanismos jurídicos de protección de los datos personales frentea su uso, más que por su carácter estrictamente privado, por el peligro que supone la utilización quese haga de los mismos7. Así, la protección de los datos personales nace como una respuesta a un pro-blema real: el riesgo inherente al manejo vertiginoso y no siempre bien intencionado de la informaciónen un entorno en que las tecnologías evolucionan de una manera que la humanidad nunca antes cono-ció8.

Esta situación refleja una clara e importante necesidad de encontrar en los valores que inspiran elDerecho y promueven la Justicia una respuesta integral que permita la coexistencia, por un lado, demecanismos que incentiven, promuevan y faciliten el desarrollo de la tecnología, pero al mismo tiempo

2 GARCÍA MEXÍA, Principios de Derecho de Internet, Tirant lo Blanch, Valencia, 2005, pp. 56-97.

3 HAWKING, Stephen sostiene que «si miramos hacia el futuro, no hay límites a lo que podemos lograr en este campo.No hay ley física que impida que las partículas en un sistema de Inteligencia Artificial se re-ordenen a sí mismas pararealizar cálculos más complejos de los que somos capaces de hacer los seres humanos. Es perfectamente posible quese produzca un salto radical e inesperado [...]» Cfr. HAWKING, Stephen; RUSSELL, Stuart; TEGMARK, Maxy WILCZEK, Frank; "Transcendence looks at the implications of artificial intelligence - but are we taking AI seriouslyenough?" en Revista The Independt, Reino Unido, 2014, p. 7.

4 GONZÁLEZ, ENRIC, "IBM, al servicio del holocausto: Un libro describe cómo el régimen de Hitler clasificó a susvíctimas con material de la firma estadounidense" en Diario El País, Ediciones El País S.L., New York, 2001, pp. 8-10.

5 Sentencia de la Primera Sala del Tribunal Constitucional Federal Alemán, del 15 de diciembre, 1983 (1, BvR 209,269, 362, 420, 440, 484/83). Los principales extractos de esta sentencia fueron publicados por la Fundación KonradAdenauer en la compilación denominada “Jurisprudencia del Tribunal Constitucional Federal Alemán.”

6 Recientes publicaciones históricas han puesto de manifiesto que una de las empresas de tecnologías más importantedel mundo, IBM -denominada durante esa época Deutsche Hollerith Maschinen GmbH (Dehomag)- fue quien facilitóla utilización sistemática de los ordenadores (procesadores de datos) por parte de los nazis para que pudieran identificary detener de forma eficiente a judíos y otras minorías, para utilizarlos como esclavos y finalmente exterminarlos.COSTA PICAZO, Rolando (trad.), IBM y el Holocausto, Editorial Atlántida, Buenos Aires, 2001, p. 29 y ss.

7 JÜRGEN SCHWABE, Jurisprudencia del Tribunal Constitucional Federal Alemán, Editorial Fundación Konrad Ade-nauer, México D.F., 2009, pp. 94-102.

8 QUIROGA LEÓN, J. A., "Sobre el desinterés y el desconocimiento de una Ley: La Protección de Datos Personales:¡Bienvenidos al tema!" Revista La Ley, el ángulo legal de la noticia, mayo 2015, Ediciones La Ley, Lima, 2015, pp.37-41.

Milagros Katherine Olivos Celis

mantengan vigentes las bases de una sociedad democrática, donde el centro de estos nuevos escenariossea siempre la persona humana y el valor de su dignidad.

Bajo esta perspectiva, diferentes países vieron la necesidad de adoptar medidas de índole legislativaque permitieron a su Derecho reconocer como una obligación el respeto a la vida privada. De lasprimeras elaboraciones teóricas que buscaban reconocer este derecho como una extensión del derechoa la intimidad, en nuestros días se ha identificado a la «privacidad» como un bien jurídico autónomo9

cuya principal manifestación aparece a través del «derecho a la protección de datos personales».

Las diferentes formas de regulación que se adoptaron en los distintos escenarios ha generado que,actualmente, en el mundo convivan dos grandes modelos regulatorios: el modelo americano y elmodelo europeo10. Independientemente de su idoneidad o de los aciertos de sus fórmulas legislativas,cada uno de ellos ha realizado aportes significativos en el desarrollo de la materia; aunque desdecaminos diferentes.

De los avances más importantes que se han producido hasta el momento, el más resaltante es lapromulgación, y posterior entrada en vigencia, del Reglamento Europeo de Protección de DatosPersonales. Tras varios años de trabajo, la Unión Europea ha logrado actualizar su normativa quellevaba poco más de veinte años de vigencia. En mayo del 2018 entró en vigencia este NuevoReglamento que fue promovido por la Unión Europea.

El objetivo de la norma ha sido: «[…] contribuir a la plena realización de un espacio de libertad,seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y laconvergencia de las economías dentro del mercado interior, así como al bienestar de las personasfísicas.» En ese sentido ha promovido un nuevo marco regulatorio que busca fortalecer los derechosde sus ciudadanos, y al mismo tiempo consolidar sus bases para la construcción de un único mercadoadaptado a la era digital11.

El presente estudio tiene como propósito conocer los cambios surgidos como consecuencia de eseReglamento y verificar cuáles son las consecuencias de esta regulación en los países de AméricaLatina. En ese marco, a continuación, se presenta un análisis descriptivo y crítico de lo que ha sido yde lo que es la normativa europea, así como de las modificaciones surgidas hasta el 2018, tanto desdelas Sentencias del Tribunal de Justicia Europeo como de las propias normas de Europa. Este análisisse complementa con algunas reflexiones referidas, especialmente, al impacto que los cambiosnormativos están produciendo y producirán en los diferentes países de América Latina, a pesar de lapoca experiencia en su desarrollo.

Para lograr dicho propósito, el análisis se ha dividido en tres partes. En la primera parte se describecómo ha sido el esquema jurídico para la protección de datos personales en Europa hasta antes del 25de mayo del 2016; en la segunda parte se identifican cuáles han sido los cambios que ha planteado lanueva regulación sobre la Protección de Datos Personales en Europa, a propósito de la vigencia de sunuevo Reglamento General de Protección de Datos; y en la tercera y última parte se analiza cuál es elimpacto de esta nueva regulación europea en los países de América Latina.

Metodológicamente, el presente estudio se ha desarrollado desde una perspectiva descriptiva yprescriptiva, con mayor acento en la prescripción; utilizando distintos métodos de estudio para larecopilación de información. La elección de estos tópicos no es casual, sino que busca contribuir enel conocimiento del nuevo panorama que ha planteado la interacción de la tecnología y la privacidad.Si esta es la era de la información, hay que hacerla la era de la privacidad; porque la privacidad seguirásiendo el espacio justo que no debe ser violentado.

9 MURILLO DE LA CUEVA, Pablo Lucas y PIÑAR MAÑAS, José Luis, El derecho a la autodeterminacióninformativa, Madrid, Fundación Coloquio Jurídico Europeo, 2009. p. 26.

10 Los aciertos y desaciertos de cada modelo dependerán del concepto de Derecho que se utilice, así como de la con-cepción que se emplee para definirlo. Hacerlo en este espacio puede resultar una tarea inalcanzable.

11 Considerando 2 del RGPD.


1. EL SISTEMA JURÍDICO PARA LA PROTECCIÓN DE DATOS PERSONALES ENEUROPA HASTA MAYO DEL 2018.

Hasta fines del siglo XIX no existía el reconocimiento expreso de la protección jurídica de la vidaprivada. Sin embargo, tanto el tratamiento de la información personal, como la necesidad de su tutelasiempre ha estado presente en el comportamiento social de todas las civilizaciones. HERNÁNDEZLÓPEZ12 haciendo referencia a algunos de sus antecedentes históricos, señala como uno de losejemplos más antiguo, el Juramento de Hipócrates, cuya vigencia se mantiene hasta la actualidad13, yel secreto de confesión, contenido en el IV Concilio de Letrán de 1215, a través del cual se impuso alos ministros la obligación de guardar el secreto sacramental14.

Hoy, el desarrollo de la industria moderna demanda -cada vez con mayor frecuencia- el uso de datosy más datos, tal es así que actualmente los procesos económicos de producción y distribución de bienesy servicios son inconcebibles en una sociedad tecnológicamente desarrollada sin antes conocerinformación sobre las preferencias, gustos, estadísticas, porcentajes, etc.15 En ese sentido, su protecciónjurídica también resultó necesaria.

Veamos un poco de historia.

Uno de los primeros antecedentes de la protección de la información personal se encuentra en elartículo 12° de la Declaración Universal de los Derechos Humanos de 1948, en cuyo contenido seestableció: «Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilioo su correspondencia (...)». En un sentido similar, el Convenio Europeo para la Protección de losDerechos Humanos y de las Libertades Fundamentales (CEDH) de 4 de noviembre de 1950 consagróen su artículo 8° el derecho al respeto de la vida privada y familiar en los siguientes términos: «Todapersona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sucorrespondencia». En 1966, el artículo 17.1° del Pacto Internacional de Derechos Civiles y Políticosreconoce la misma restricción16. Estas son las referencias iniciales para proteger la privacidad de losciudadanos declarándose, a través de instrumentos internacionales, la prohibición de cualquierinjerencia no autorizada.

En los años siguientes, América y Europa se preocuparon especialmente por analizar los riesgos quegeneran el uso de las tecnologías y que impactan directamente sobre los derechos de las personas,restringiendo su libertad, por ejemplo17. Cada continente marcó su camino. En 1974, Estados Unidos

12 HERNÁNDEZ LÓPEZ, José Miguel; El derecho a la protección de Datos Personales en la Doctrina del TribunalConstitucional, Editorial Thomson Reuters Aranzadi, Madrid, 2013, pp. 21 y ss.

13 «[...] De todo aquello que vea u oiga en la sociedad durante el ejercicio o de mi profesión, e incluso fuera de él, callarélo que no necesita ser divulgado, considerando la discreción como un deber en semejante caso.» Cita de Hipócratesextraída de la obra dirigida por J. HERSCH, El derecho de ser hombre, Editorial Tecnos/UNESCO, Madrid, 1984, p.410.

14 «¡Qué cuidadosamente informase acerca de las circunstancias del pecador y el pecado, para que con prudenciapuede discernir qué tipo de consejos que debe dar y qué remedio a aplicar, utilizando diversos medios para curar ala persona enferma! Que se tome el máximo cuidado, sin embargo, no traicionar el pecador en absoluto por la palabrao signo, o de cualquier otra manera. Si el sacerdote necesita sabios consejos, que lo buscan con cautela, sin ningunamención de la persona en cuestión. Por si alguien se atreve a revelar un pecado revelada a él en confesión, decretoque no es sólo para ser depuesto de su oficio sacerdotal, sino también a ser confinado a un monasterio estrictas parahacer penitencia perpetua.» IV Concilio de Letrán, 1215, Canon 21.

15 CORRAL TALCIANI, Hernán; "Configuración jurídica del derecho a la privacidad I: Origen, desarrollo y fun-damentos" en Revista Chilena de Derecho, Volumen 27, Nº 1, Santiago de Chile, 2000, pp. pp. 56 y ss.

16 Artículo 17.1° del Pacto Internacional de Derechos Civiles y Políticos. - Nadie será objeto de injerencias arbitrariaso ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra yreputación.

17 En 1967 el Consejo de Europa creó una Comisión Consultiva para estudiar los riesgos que las tecnologías generansobre los derechos de las personas, obteniendo - un año después - como resultado de este trabajo la aprobación de laResolución 509 de los Derechos humanos y los nuevos logros científicos y técnicos. Esta resolución se considera elorigen del movimiento legislativo que desde entonces recorre Europa en materia de protección de datos. Cfr.


aprobó The Privacy Act y fue sentando las bases de los principios esenciales configuradores delderecho a la privacidad.

Europa hizo lo suyo, esta vez desde los diferentes países que la integran. Como derecho fundamental,Portugal fue el primer país en reconocer en su Constitución la protección de la vida privada en 197618;y muy cerca, Francia hizo lo propio al aprobar la ley de libertades informáticas del 6 de enero de 1978relativa a la Informática, los ficheros y las libertades19; y en la que expresamente se reconoce que lainformática debía estar al servicio de los ciudadanos, por lo que no debía infringir la identidad humana,los derechos humanos, la privacidad, ni las libertades individuales y/o públicas20.

El 28 de enero de 1981, el Consejo de Europa suscribió el Convenio N° 108 para la protección de laspersonas con respecto al tratamiento automatizado de datos de carácter personal. Este fue el primerinstrumento internacional jurídicamente vinculante adoptado en el ámbito de la protección de datos.Tuvo como finalidad «garantizar [...] a cualquier persona física [...] el respeto de sus derechos ylibertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamientoautomatizado de los datos de carácter personal correspondientes a dicha persona». Diferentes países,especialmente de América Latina, han ido acogiéndose progresivamente a este instrumento. Su artículo23° permite la adhesión, por parte de Estados que pueden acogerse a su regulación, aun sin sermiembros del Consejo de Europa. Gracias a esto, en la actualidad este el único instrumento legalvinculante en materia de protección de datos con un ámbito de aplicación internacional.

En el ámbito de la Unión Europea, el derecho a la protección de datos, se rigió hasta hace poco porvarios instrumentos legislativos, entre los que figura la Directiva 95/46/CE del 24 de octubre de 1995relativa a la protección de datos21, la Directiva 2002/58/CE del 12 de julio del 2002 sobre la privacidady las comunicaciones electrónicas22, la Directiva 2006/24/CE del 15 de marzo del 2006 sobre laconservación de datos23 y el Reglamento (CE) N° 45/2001 del 18 de diciembre del 2000 relativo altratamiento de datos personales por las instituciones y los organismos comunitarios24; así como laDecisión Marco del Consejo 2008/977/JAI de 27 de noviembre de 2008, relativa a la protección dedatos personales tratados en el marco de la cooperación policial y judicial en materia penal25.

Es decir, Europa consiente de la necesidad de lograr un equilibrio entre el refuerzo de la seguridad y

MURILLO DE LA CUEVA, Pablo Lucas y PIÑAR MAÑAS, José Luis; Ob. Cit.; pp. 83-85.

18 Cfr. Ídem.

19 La ley «Informática y Libertades» es una de las más antiguas. En 1974, la revelación en la prensa francesa de unproyecto gubernamental de interconexión de todos los ficheros administrativos, en la base de un número deidentificación único de los ciudadanos (conocido bajo el nombre de proyecto SAFARI), creó cierta emoción en laopinión pública. Por eso se constituyó una comisión encargada de hacer propuestas a fin de garantizar que el desarrollode la informática se hiciera en el respeto de la vida privada, de las libertades individuales y públicas. Se presentó anteel parlamento y se aprobó, el 6 de enero de 1978, una Ley relativa a la informática, los ficheros y las libertades, queinstituyó a la vez una autoridad independiente encargada de velar por su cumplimiento. TÜRK, Alex, "La ley francesade protección de datos de carácter personal" en Hacia un nuevo Reglamento de la Ley Orgánica de Protección deDatos, Ediciones Santander, Santander, 2005, pp. 1-6.

20 Este reconocimiento se hizo a través de la Ley Nº 78-17 del 6 de enero de 1978 relativa a la informática, los ficherosy las libertades. El texto original de la ley señalaba: «L'informatique doit être au service de chaque citoyen. Sondéveloppement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni àl'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques»

21 Sustituida por el Reglamento General de Protección de Datos en mayo de 2018.

22 Con algunas modificaciones importantes y sobre la cual actualmente se trabaja en una nueva propuesta

23 Esta Directiva fue declarada inválida por el Tribunal de Justicia de la Unión Europea el 8 de abril de 2014 al constituiruna injerencia de especial gravedad en la vida privada y la protección de datos. Al respecto puede verse la Sentenciadel Tribunal de Justicia (Gran Sala) de 8 de abril de 2014 — Comisión Europea/Hungría (Asunto C-288/12).

24 Actualmente se viene trabajando en una nueva propuesta.

25 Esta Directiva fue sustituida por la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales relacionadoscon infracciones penales o con la ejecución de sanciones penales, y a la libre circulación de dichos datos.


la tutela de los derechos humanos, incluida la protección de los datos y de la vida privada, siguió unintenso camino legislativo. Las nuevas normas en materia de protección de datos, que refuerzan losderechos de los ciudadanos, que simplifican las normas para las empresas que viven la era digital, yque entraron en vigor en mayo de 2018 así lo demuestran26.

Para lograr dicho propósito, la Unión Europea se planteó como objetivo garantizar la aplicaciónsistemática del derecho a la protección de datos, consagrado en su Carta de Derechos Fundamentales27,reforzando su posición en el marco de todas sus políticas, incluidas la aplicación de la ley y laprevención de la delincuencia, así como en sus relaciones internacionales, especialmente en unasociedad global caracterizada por la rápida evolución de la tecnología28. La regulación, que se vinogestando desde hace muchos años atrás y que fue aprobado a mediados del 2016, buscaba que Europase encuentre preparada para la era digital. La idea global era que la mayoría (sino todos) los ciudadanoseuropeos puedan ejercer el mismo derecho a la protección de datos en toda Europa, con independenciadel lugar donde se realice el tratamiento.

Hoy, el Reglamento es una medida fundamental que fortalece los derechos de los ciudadanos en estanueva era digital y beneficia a las empresas al simplificar las normas que les resultan aplicables en elmercado único digital, entre otras cosas. Precisamente, en este contexto, un aporte significativo de lanorma ha sido terminar con la fragmentación y las cargas administrativas que actualmente existen. ElReglamento entró en vigor el 24 de mayo de 2016 y se aplicó a partir del 25 de mayo de 2018.

2. LOS CAMBIOS QUE INCORPORA LA NUEVA REGULACIÓN SOBRE LAPROTECCIÓN DE DATOS PERSONALES EN EUROPA, A PROPÓSITO DE LA VIGENCIADEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS.

El 25 de mayo del 2016, el Parlamento Europeo y el Consejo de la Unión Europea aprobaron elReglamento General de Protección de Datos relativo a la protección de las personas físicas en lo querespecta al tratamiento de datos personales y a la libre circulación de estos datos29. Esta norma fortalecesustancialmente el régimen que hasta entonces era aplicable en los países de Europa, aunquemanteniendo sus objetivos iniciales. Desde el enfoque de la norma, la «economía digital» se habríaconvertido en su objetivo prioritario. Los considerandos del Reglamento así lo reflejan30.

La norma, que entró en vigor el 25 de mayo de 2018 (dos años después de su aprobación), parte deuna afirmación fundamental «el tratamiento de datos personales debe estar concebido para servir ala humanidad.[…]31», en ese sentido resalta dos aspectos esenciales; por un lado armonizar laprotección de los derechos y las libertades fundamentales de las personas físicas en relación con lasactividades de tratamiento de datos de carácter personal, y por otro, garantizar la libre circulación deestos datos entre los Estados miembros32. Es decir, lo que busca el Reglamento es que todos losEstados de la Unión tengan un sistema de tratamiento de datos coherente y homogéneo, de manera talque permita garantizar un nivel de protección y seguridad jurídica equivalente33.

26 Véase Artículo 16° del Tratado de Funcionamiento de la Unión Europea (TFUE); artículos 7° y 8° de la Carta de losDerechos Fundamentales de la Unión Europea.

27 La Carta está integrada en el Tratado de Lisboa y es jurídicamente vinculante para las instituciones y órganos de laUnión, así como para los Estados miembros cuando aplican el Derecho de la Unión.

28 PARLAMENTO EUROPEO, Fichas técnicas temáticas sobre la Unión Europea – 2019 (Protección de datos perso-nales), s/l, 2019, p. 1.

29 Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección delas personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y porel que se deroga la Directiva 95/46/CE, Considerando 2. En adelante, para hacer cualquier referencia a esta norma seutilizarán indistintamente la expresión «Reglamento General de Protección de Datos o RGPD».

30 Así puede leerse en la última parte del Considerando 6 y en el Considerando 7, 13 y otros.



33 Cfr. FERRER TAPIA, Belén “Protección de datos y redes sociales” en Algunos desafíos en la protección de datos


Esta nueva regulación ha significado el fortalecimiento del esquema regulatorio, que existía en Europa,y que -en buena cuenta- era el modelo que había inspirado la regulación de varios países de AméricaLatina. La norma ha propuesto, además, un cambio de paradigma. Fundamentalmente este cambiobusca migrar del régimen reactivo, que hasta entonces existía, a la responsabilidad activa a través dela implementación de una filosofía preventiva, que pone de manifiesto la necesidad de una rápidacapacidad de adaptación a los nuevos retos que se presentan.

La nueva norma supone un mayor compromiso de las organizaciones, tanto públicas como privadas,con el derecho a la protección de datos; sin que esto signifique necesariamente, ni en todos los casos,una mayor carga. Se trata más bien de una propuesta para gestionar la protección de datos de unamanera distinta de la que se viene empleando ahora. Según el Considerando 2 del Reglamento, lo quese busca es «[…] contribuir a la plena realización de un espacio de libertad, seguridad y justicia y deuna unión económica, al progreso económico y social, al refuerzo y la convergencia de las economíasdentro del mercado interior, así como al bienestar de las personas física.34»

Adecuándose una realidad en la que para tratar datos las fronteras físicas resultan irrisorias, los cambiosintroducidos por esta nueva regulación están inspirados en el amplio desarrollo tecnológico. Hoy, laUnión Europea es consciente que la magnitud de la recogida y del intercambio de datos personales haaumentado de manera significativa gracias al uso de las herramientas que proporciona la tecnología;las cuales facilitan, tanto a las empresas privadas como a las autoridades públicas, el uso de datospersonales en una escala sin precedentes. La tecnología ha transformado tanto la economía como lavida social, por lo que son conscientes de la necesidad de garantizar su elevado nivel de protección.

Sin temor a error, cabe reconocer en esta norma un símbolo de los altos estándares de la calidad delDerecho europeo y de su capacidad para imponerlos en el ámbito internacional, especialmente en lascomplejas relaciones Europa-Estados Unidos35. Para comprobarlo será suficiente revisar las sentenciasque las autoridades europeas han impuesto a las grandes empresas de tecnología tras vulnerar elderecho a la protección de datos de miles de sus ciudadanos36. Esta nueva regulación es tanacertadamente «estricta» que ahora su ámbito de aplicación abarca también cuando se trata datospersonales de residentes en ella en relación con la oferta de bienes o servicios (de pago o no) o elcontrol de su comportamiento, aunque el establecimiento central que haga el tratamiento no seencuentre en territorio de la Unión Europea37.

La norma se estructura en XI Capítulos, los cuales se encuentran divididos en: I. DisposicionesGenerales; II. Principios; III. Derechos de los Interesados; IV. Responsable del Tratamiento y

personales, Editorial Comares, 2018, pp. 1-26.


35 Para clarificar mejor el contenido de cómo se han desarrollado estas relaciones pueden revisarse dos sentencias rele-vantes del Tribunal de Justicia Europeo con impacto en la relación transatlántica Europa-Estados Unidos. Estas sen-tencias están relacionadas con el caso digital rights Ireland y el caso schrems. Véase al respecto LOPEZ AGUILAR,Juan Fernando. “La Protección de Datos Personales en la más reciente Jurisprudencia del TJUE: Los Derechos de laCDFUE como parámetro de validez del derecho europeo, y su impacto en la relación transatlántica UE-EUUU” enRevista UNED: Teoría y Realidad Constitucional, núm. 39, Madrid, 2017, pp. 557-581. También puede verse FER-NÁNDEZ VILLAZÓN, Luis Antonio “El nuevo reglamento europeo de protección de datos” en Foro. Revista Jurídicade Ciencias Sociales, vol. 19, núm. 1, Madrid, 2016, pp. 395-411.

36 En enero del 2019 la agencia francesa de protección de datos CNIL (Commission nationale de l’informatique et deslibertés) impuso una sanción de 50 millones de euros a Google en aplicación del Reglamento General de Protecciónde Datos de la Unión Europea (RGPD) por su falta de transparencia, la información insatisfactoria proporcionada yla falta de consentimiento válido para la personalización de publicidad. Se trata de la primera ocasión en la que laCNIL multa con una sanción tan alta, justificada en la gravedad de las deficiencias observadas, que se refieren aprincipios esenciales del RGPD como la transparencia, la información y el consentimiento. La multa, sin embargo,sigue estando muy lejos de la máxima aplicable, ya que el 4% de la facturación global de Google ascendería a másde 4,000 millones de euros. Esta sanción se encuentra contenida en Délibération N° SAN-2019-001 du 21 janvier2019. Délibération de la formation restreinte N° SAN – 2019-001 du 21 janvier 2019 prononçant une sanctionpécuniaire à l'encontre de la société GOOGLE LLC.

37 Artículo 3° del Reglamento.


Encargado del Tratamiento; V. Transferencia a Terceros Países u Organizaciones Internacionales; VI.Autoridades de Control; VII. Cooperación y Coherencia; VIII. Recursos, Responsabilidad y Sanciones;IX. Situaciones Específicas de Tratamiento; X. Actos Delegados y Actos de Ejecución; y XI.Disposiciones Finales.

La mayoría de las disposiciones de esta nueva norma coinciden, en sus aspectos esenciales, con lorecogido hasta el momento en la anterior. Así, por ejemplo, se mantienen en su esencia algunasdefiniciones generales, los principios, los derechos de los interesados, entre otros. Sin perjuicio deello ha incorporado normas más novedosas como la posibilidad de la designación de un delegado deprotección de datos38 o la realización de evaluaciones de impacto en la propia organización39. En elmismo sentido, también se ha pensado en normas que complementan la anterior regulación comoaquellas relacionadas con las obligaciones de los responsables y encargados de tratamiento40.

El profesor FERNÁNDEZ VILLANZÓN explica varios de los aciertos que ha introducido esta nuevaregulación. Señala, por ejemplo, que uno de los principales cambios que se ha producido con estanorma es la creación de un marco normativo más sólido y coherente, con nuevos y mejores derechospara los ciudadanos. Además, sigue el profesor Fernández, se han racionalizado considerablementevarios de los trámites administrativos, se ha propuesto la creación de un sistema de control máscoordinado eficiente y expeditivo, entre otros41. La intención es clara: crear un marco único deregulación y protección, destinado especialmente para los residentes de la Unión Europea, pero conimplicancia en el resto de países del mundo.

La norma tiene un contenido extenso (consta de 99 artículos y está sustentada en 173 considerandos),pero las modificaciones introducidas no son inútiles, más bien son una respuesta importante a lasexigencias de la sociedad actual. A continuación, se describen estos cambios. Veamos:

a) La creación de una norma que consolida las cuestiones jurídicas hasta entonces fragmentadasy que se encontraban vigentes en la Unión Europea. Esto ha dado lugar a una regulación uniformey sólida, de aplicación directa en los diferentes países de la Unión. Precisamente su creación es unarespuesta a los principales problemas que generaba la fragmentación normativa que existía en elDerecho interno de los diferentes países, y que además era una de las principales barreras para losnegocios y la actividad de las autoridades públicas. Esta fragmentación normativa, promovía ademásun elevado nivel de inseguridad jurídica, y hacía difícil la tarea de vigilancia en su cumplimiento42.Este nuevo Reglamento, de aplicación directa en todos los Estados miembros, no necesitantransposición alguna.

b) El surgimiento de nuevos y mejores derechos para los ciudadanos – o «interesados» en términosdel nuevo Reglamento-. Con el Reglamento, se ha hecho un fuerte eco de la doctrina del Tribunal deJusticia, el cual ha tenido encomendada la tarea natural de mantener actualizado el derecho a laprotección de datos personales a través de la resolución de sus casos. Varios de los avancesjurisprudenciales más significativos de este Tribunal han terminado por quedar plasmados en elReglamento43. Esto va desde la definición de «dato personal»44 hasta la «nulidad de acuerdos detransmisión de datos»45 o el reconocimiento del llamado «derecho al olvido»46, entre otros casos.



40 Artículo 24° y ss. del Reglamento.

41 FERNÁNDEZ VILLAZÓN, Luis Antonio Ob. Cit., pp. 395-407.

42 Ídem. Ob. Cit., p. 397.

43 Véase QUESADA MONGE, Daniel Federico, “Transparencia administrativa, acceso a la información y protecciónde datos personales: Criterios para una conciliación de derechos desde la jurisprudencia del Tribunal de Justicia dela Unión Europea y la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y BuenGobierno” Universidad Autónoma de Madrid, Madrid, 2017, p. 38 y ss.

44 Así puede verse la STJCE de 6 de noviembre de 2003, asunto C-101/01 (caso Lindqvist), apartado 34; STJCE (GranSala) de 16 de diciembre de 2008, asunto C-73/07 (caso Satakunnan Markkinapörssi y Satamedia), apartado 35;STJUE (Sala Tercera) de 1 de octubre de 2015, asunto C-201/14, (caso Bara), apartado 29; STJUE (Gran Sala) de 29de junio de 2010, asunto C-28/08 P (caso Comisión/Bavarian Lager), apartado 68; STJCE de 20 de mayo de 2003,asuntos C-465/00, C-128/01 y C-139/01 (caso Österreichischer Rundfunk y otros), apartado 73-74.

45 Mediante STJUE, de 6 de octubre de 2015, caso Schrems, el TJUE señaló que transferir datos personales desde un


Esta nueva reglamentación ha reforzado el poder de los interesados, fortaleciendo –fundamentalmente-la manera cómo se presta el consentimiento. La norma ha puesto un especial interés cuando se tratadel consentimiento realizado por menores en escenarios digitales. También ha reforzado el derecho ala información correlacionándolo con el principio de transparencia; ha incorporado el derecho de noser sometido a decisiones automatizadas; ha introducido como parte de su regulación el «derecho alolvido» y el derecho a la portabilidad de datos.

Repasemos someramente estos cambios.

En el artículo 7° del Reglamento se desarrollan las condiciones que ha de reunir el consentimientopara ser válido, y el artículo 8° precisa las características de dichas condiciones cuando se trata deniños que facilitan sus datos personales a través de los servicios de la sociedad de la información. Elsegundo caso, la importancia es aún mayor. Como ya lo advertía PEREZ LUÑO, con el Internet y eldesarrollo de las nuevas tecnologías casi todos los espacios de la vida cotidiana de los menores –esdecir, su espacio vital- se ha visto modificado: ha pasado de estar definido por un espacio físicoreducido como su colegio o casa, a estar delimitado por las redes que a su vez le abre las puertas a unmundo de posibilidades y conocimientos, pero también de riesgos47. En ese sentido, el Reglamentoplantea una nueva dimensión y tutela del menor por medio de un balance que busca su protección,pero sin limitar su libertad ni autonomía48. Aunque el Reglamento hace una alusión específica altratamiento de datos menores, hay autores como GOMEZ-JUÁREZ, quien estima que más apropiadosería hacer referencia a «personas especialmente vulnerables». Esto significaría, incluir no sólo niñossino también a personas mayores, que por la brecha que tienen con la tecnología, son particularmentepropensos a situaciones de riesgo en lo que se refiere al tratamiento de sus datos de carácter personal49.

Este reforzamiento del poder del interesado también se aprecia en el fortalecimiento que se ha hechodel «derecho a la información», en cuanto a su delimitación y clarificación. El artículo 12° señala quetoda la información que se brinde al interesado debe realizarse en forma concisa, transparente,inteligible y de fácil acceso; agregando en la primera parte de su texto, el reconocimiento del principiode transparencia (artículo 5°) como uno de los ejes para el tratamiento de datos personales.

Por otro lado, el reforzamiento de las facultades aparece también en el Reglamento en elreconocimiento del «derecho de no ser sometido a decisiones automatizadas». Así, mediante el artículo22° se intenta garantizar como mínimo el derecho del afectado a tener intervención humana, a expresarsu punto de vista y a impugnar la decisión. Esto es importante porque el ciudadano no puede quedarreducido a la aplicación técnica de un algoritmo o ser el resultado de una combinación de datos; sumera condición de ser persona y el valor de su dignidad no lo permiten. Tal como lo refiere el profesorHERNÁNDEZ «[…] en un entorno tecnológico complejo […] no tener un poder efectivo dedisposición sobre ellos […] [los datos] es particularmente grave porque amplios e importantesámbitos de su actuar se materializan a través de cauces en los que quedan registrados su datospersonales […]50».

Estado miembro a un tercer país, constituye en sí mismo un tratamiento de datos personales. También puede verseSTJUE (Gran Sala) de 6 de octubre de 2015, asunto C-362/14 (caso Schrems), apartado 45.

46 Uno de los casos más emblemáticos que habría resuelto el TJUE es el denominado «caso Google», contenido en laSTJUE (Gran Sala) de 13 de mayo de 2014, asunto C-131/12 (caso Google), apartado 27, a través del cual consideróque los datos hallados, indexados, almacenados por motores de búsqueda de Internet y puestos a disposición de losusuarios de dicho motor, constituyen información relativa a personas físicas identificadas e identificables, y por con-siguiente, se encuentran dentro del ámbito de aplicación de la norma. Un amplio y detallado análisis sobre este casopuede encontrarse en RALLO, Artemi, “El derecho al olvido en Internet. Google vs. España” en Cuadernos y Debates,N° 233, Centro de Estudios Políticos y Constitucionales, Madrid, 2014.

47

48 Véase PÉREZ LUÑO, A.E. “La protección de los datos personales del menor en Internet” en Anuario Facultad deDerecho, Universidad de Alcalá, Alcalá de Henares, 2009. pp. 143-175.

49 GÓMEZ-JUÁREZ SIDERA, I. “Hacia un nuevo derecho de protección de datos para las personas especialmentevulnerables en la sociedad digital del Siglo XXI: los niños y las personas mayores” en Revista CESCO de Derechode Consumo, núm. 14/2015, Madrid, 2015, pp. 217-240.

50 HERNÁNDEZ CORCHETE, J.A. “Transparencia en la información al interesado del tratamiento de sus datos per-


En la misma línea, la norma también ha introducido el reconocimiento del «derecho al olvido», o –como lo llama la propia norma- derecho a exigir la supresión de los datos personales que leconciernan51. Dicha supresión procede, según el artículo 17°, cuando los datos han dejado de sernecesarios para los fines para los que fueron recogidos, cuando se haya retirado su consentimientopara su tratamiento o cuando se exija alguna obligación legal. Así lo explican los Considerandos N°.65 y 66 que dan lugar a la norma. Agrega ese último Considerando que a fin de reforzar el «derechoal olvido» en el entorno en línea, el derecho de supresión debe ampliarse de tal forma que elresponsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a losresponsables del tratamiento que estén tratando tales datos personales que supriman todo enlace aellos, o las copias o réplicas de tales datos52.

Un ejemplo más de este fortalecimiento de derechos yace en el artículo 20° del Reglamento, medianteel cual se reconoce el «derecho a la portabilidad de datos», y en virtud del cual las personas tendránderecho a recibir los datos personales que le incumban, que haya facilitado a un responsable deltratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlo a otroresponsable del tratamiento, bajo determinados supuestos53. Esto se hace con la finalidad de reforzaraún más el control de los ciudadanos sobre sus propios datos.

c) La reducción de los trámites administrativos, principalmente en la posibilidad de simplificarestos trámites que, para las empresas, supone la implementación del sistema de protección de datos.La norma ha sido enfocada, especialmente, para reducir las cargas que se generaban a las pequeñas ymedianas empresas. Así, por ejemplo, ha desaparecido la obligación de la notificación previa a laAutoridad de Control para realizar cualquier tratamiento y que en la anterior norma era un requisitoobligatorio.

e) Con el mismo espíritu de tutela y equilibrio, la norma permite una armonización de la libertad detratamiento (ya no se realiza una notificación previa a la Autoridad de control), pero se exige estar encapacidad de demostrar que el tratamiento de datos se realiza en armonía con los principios y demásnormas contenidas en el Reglamento. Esto es lo que el propio Reglamento denomina principio de«responsabilidad proactiva». Dicho principio se encuentra contenido a lo largo de todo el texto delReglamento. Por ejemplo, aparece en la necesidad de detectar los riesgos existentes en los tratamientosde datos mediante un análisis previo (artículo 35°), responder a la solicitud del ejercicio de los derechospor los interesados (artículo 14°, 34°, entre otros), la adopción de medidas técnicas y organizativasque aseguren un tratamiento eficaz y con arreglo al RGPD (artículo 25°) o paliar las posiblesviolaciones de seguridad (artículo 32° y 33°), entre otros.

f) Por último, aunque sin agotar estas modificaciones y sin hacer de ésta la menos importante, elReglamento ha permitido la creación de un sistema de control más coordinado, eficiente yexpeditivo54. Precisamente, para atender uno de los puntos más débiles de la normativa anterior, queera la falta de cooperación entre las autoridades de control de los Estados miembros y las divergenciasen la interpretación del Derecho comunitario55. El Reglamento propone la posibilidad de unadiferenciación entre la autoridad principal (artículo 54°) y las autoridades interesadas (artículo 4.22)y el uso de mecanismos de cooperación (artículo 60°) y asistencia mutua entre ellas (artículo 61°),incluso con la posibilidad de realizar acciones conjuntas (artículo 63°).

sonales y en el ejercicio de sus derechos” en Reglamento General de Protección de Datos: hacia un nuevo modeloeuropeo de privacidad. Editorial Reus, Madrid, 2016, pp. 205-226.

51 Esta analogía aparece en el tenor literal del propio Reglamento al señalar: «1. El interesado tendrá derecho a obtenersin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, elcual estará obligado a suprimir sin dilación indebida los datos personales […]» (El resaltado es propio)

52 Considerando 66 del Reglamento.


54 FERNÁNDEZ VILLAZÓN, Luis Antonio Ob. Cit., p. 397.

55 Véase ORTEGO RUIZ, Miguel, Sin miedo a la protección de datos. El Reglamento General de protección de datoses fácil, Editorial Siglo XXII, Madrid, 2018, p. 31.


A la fecha de la presentación de este estudio ha pasado poco más de un año desde la vigencia de esteReglamento europeo de protección de datos y los resultados de su aplicación en su espacio sonpositivos. De hecho, varias empresas de nacionalidad distinta a la europea, vienen adecuándoseprogresivamente a estos estándares internacionales. Esta situación es el resultado de los buenos efectosque genera la norma. Más aún, en la sociedad europea se respira la cultura de la privacidad, quetristemente dista considerablemente con lo que sucede en varios países de América Latina.

3. LA EXPERIENCIA DE AMÉRICA LATINA EN MATERIA DE PROTECCIÓN DE DATOS.

Hoy han transcurrido más de 35 años del dictado de las primeras leyes de protección de datosnorteamericanas y europeas; y eso revela la importancia de esta institución y pone de manifiesto lanecesidad de reconocer la instancia actual de este dinámico proceso normativo, a través de susejemplos más relevantes.

América Latina ha seguido su propio ritmo y sus propias opciones legislativas56; sin embargo, todavíapresenta un panorama regulatorio fragmentado, no obstante de algunos progresos significativos57.

En este marco, varios países latinoamericanos han tratado la protección de los datos personales comoun derecho constitucionalmente autónomo, protegiéndolo como tal, habiendo previsto incluso accionesconstitucionales como el habeas data y el amparo para exigir su tutela. La evolución del sistema deprotección de la privacidad data del periodo comprendido entre 1980 y 1990, años en los cuales sedesarrollaron las tres primeras disposiciones constitucionales tanto en Guatemala (1985), Nicaragua(1987) y Brasil (1988). Posteriormente, Colombia, Paraguay, Perú, Argentina, Ecuador y Venezuelahicieron lo propio durante la década de 1995. Bolivia, Panamá, Honduras incluyeron este derecho ensus reformas constitucionales a partir del año 2000, siendo los más recientes México (2009), RepúblicaDominicana (2010)58.

En junio del 2017, la Red Iberoamericana de Protección de Datos (RIPD) grupo de trabajo en el queparticipan los representantes de las autoridades de protección de datos en Iberoamérica aprobó eldocumento denominado «Estándares de Protección de Datos para los Estados Iberoamericanos», cuyosobjetivos son los siguientes:

«1.1. Los presentes Estándares tienen por objeto:

establecer conjunto de principios y derechos de protección de datos personales que los Estados puedanadoptar o desarrollar en su legislación nacional, elevar el nivel de protección de las personas físicas en lo que respecta al tratamiento de sus datospersonales, garantizar el efectivo ejercicio y tutela del derecho a la protección de datos personales en estosestados,facilitar el flujo de datos personales entre los países firmantes e impulsar la cooperación internacionalentre las autoridades de control de los mismos, entre otros»59

En un mundo globalizado como en el que actualmente vivimos, y especialmente en América Latina,es la primera vez que se cuenta con una base normativa para crear un marco común de protección dedatos en la región. No obstante, resultaría interesante que los Gobiernos comiencen a contemplar elestándar de protección de datos de Europa como una guía para tutela de los derechos de su propiaciudadanía.

56 ARELLANO MÉNDEZ, Alberto, Ob. Cit., pp. 24-47.

57 REMOLINA ANGARITA, N., Aproximación constitucional de…, Ob. Cit., p. 9.

58 REMOLINA ANGARITA, Nelson; "Insuficiencia de la regulación Latinoamericana frente a la recoleccióninternacional" en Quaestiones Disputatae 2, Editorial de la Pontificia Universidad Javeriana, Bogotá, 2012, pp. 179-226, p. 194.

59 Numeral 1 de los Estándares de Protección de Datos Personales aprobado por la Red Iberoamericana de Protecciónde Datos.


La vigencia del Reglamento europeo de protección de datos ha marcado un hito importante en estamateria; y según consta en su propio texto la aplicación de sus normas va más allá de las fronterasfísicas. Así, territorialmente el artículo 3° del Reglamento señala que éste se aplica se: i) el responsableo encargado tiene el establecimiento en la Unión Europea, (independientemente de dónde se realiceel tratamiento); ii) se tratan datos personales del interesados que residen en la Unión Europea por unresponsable o encargado no establecido en la Unión Europea (solo en aquellos casos de oferta debienes y servicios a los interesados o controlen su comportamiento); y iii) el tratamiento se producepor un responsable no establecido en la Unión Europea pero en virtud de las normas del DerechoInternacional Público se aplican las normas de un Estado miembro allí donde está establecido elresponsable60.

Esto hace que las disposiciones del Reglamento se conviertan en una obligación para quienes deseencontinuar prestando servicios a una audiencia europea. Por ejemplo, Facebook, en su deseo decontinuar con sus actividades, ha tenido que adecuarse a un nuevo modelo de regulación distinto delmodelo americano, después de varios procedimientos iniciados en su contra. Basta usar la plataformay revisar sus «Condiciones de uso» para comprobarlo.

Hasta ahora, con la vigencia del Reglamento europeo, varios países de América Latina podríamosesperar, por lo menos, que estos estándares de protección alcancen igualmente a todos usuarios, sinlimitación de espacio o nacionalidad. Sin embargo, esto aún no es suficiente. De hecho, es claro quelos derechos de los internautas podrían continuar en un estado especial de vulnerabilidad. Los cambiosque introdujo en Reglamento son una demostración fehaciente de la incipiente situación que existe enAmérica Latina, porque este derecho sigue sin cobrar vida, porque su reconocimiento continúa sutrámite o porque los cambios que se introdujeron al sistema existente paralizaron las actividades decontrol que se realizaban.

Sin perjuicio de ello, no se pueden desconocerse las «buenas intenciones» que los diferentes paíseslatinoamericanos han demostrado con su adherencia al Convenio 108° del Consejo de Europa;especialmente si se atiende la intensa circulación automatizada de datos que se hace través de lasfronteras. Este convenio que se aplica a todos los sectores de la sociedad, y tiene un ámbito deaplicación mucho más abierto pues permite la adhesión de los Estados no miembros del Consejo deEuropa (artículo 23° del Convenio), adaptándose plenamente a la realidad actual: el tratamiento dedatos personales no conoce fronteras. En octubre del 2018, en Estrasburgo se aprobó su nueva versióndenominada «Convenio 108+» a la cual se ha incluido a Uruguay. Este Convenio tiene una clarasintonía con el Reglamento europeo, especialmente en lo referido a los principios de transparencia yproporcionalidad en el tratamiento de datos, y también lo relacionado con las garantías y medidas desalvaguarda que han de adoptarse para un tratamiento eficiente61.

Sería importante que los países de América Latina firmen su adhesión y contribuyan en el trabajo decrear un mercado digital sólido, donde sea la tecnología la que está al servicio de la humanidad y noal revés.

CONCLUSIÓN: UNA ESPERANZA PARA AMÉRICA LATINA.

Finalmente, tras todas estas consideraciones queda por concluir que el Reglamento europeo deprotección de datos es uno de los avances más significativos que ha surgido en el campo jurídicorespecto de esta materia. Los cambios incorporados a través de su regulación son significativos,especialmente si se tiene en cuenta el gran progreso tecnológico acaecido durante los últimos años, alque ha tenido que adaptarse.

La carrera mundial por recabar datos masivos ha comenzado, y esto se ve reflejado en el quehacerde varias empresas de tecnología, tales como Google, Facebook, Instagram, Microsoft, entre variosotros que diariamente capturan miles de millones de datos provenientes de todo el mundo,especialmente de Europa. Así es como la vida, la experiencia y el tiempo humano se convierten enun «commodity» a través de la «mercantilización de los datos personales».

60 Véase artículo 3° del Reglamento.

61 Los artículos 5°, 6°, 7°, 9° y 14° son un reflejo de las inclusiones más destacadas.


Hoy queda claro que los datos personales son el petróleo del siglo XXI, asimilándose a un nuevofactor de producción que se une a la tierra, el trabajo y el capital; y como tales tienen que ser valorados.La nueva regulación europea así lo demuestra. Y su objetivo de promover la libre circulación de losdatos son el reflejo de ello. Su fórmula ha buscado la sinergia necesaria entre la tutela de la privacidady el desarrollo económico que se produce, especialmente, en el nuevo mercado digital que se vienecreando, extendiendo su ámbito de aplicación hasta donde le ha sido posible, incluso más allá de susfronteras.

Precisamente los cambios incorporados que han fortalecido el régimen del consentimiento para eltratamiento de los datos, la preocupación y especial atención que se ha puesto en el consentimientoprestado por menores de edad, la creación (o reconocimiento) de derechos tales como el derecho alolvido, el derecho a la portabilidad de datos, entre otros son reflejo del logro de esta sinergia.

El impacto que ha generado esta regulación para varios países del mundo es innegable. Sus efectos sederivan de la aplicación del artículo 3° de la propia norma. Sin embargo, más que una aplicaciónnormativa, es necesario que los demás Estados, que -sin pertenecer al espacio europeo- pero inspiradosen estos principios y derechos y comprometidos con su defensa, adapten sus normas internas yrefuercen sus mecanismos de control. Este es uno de los desafíos más importantes que debenafrontarse.

En ese sentido, tanto el Estado como las empresas del sector privado necesitan crear y diseñarmecanismos que les permitan cumplir con éxito la normatividad vigente en materia de protección dedatos personales, no porque las leyes del país así lo reclamen sino porque es necesario reinventarsepara la era digital a fin de entender cómo está configurando la revolución digital el futuro de laeconomía, la sociedad y la vida cotidiana.

Como se ha dicho en otros escenarios: el derecho a la protección de datos personales, cuyo fundamentoradica en la dignidad humana, logrará materializarse cuando: los Estados brinden los mecanismos yelementos necesarios para su protección; los ciudadanos se empoderen de sus facultades, exijan susderechos y adopten una verdadera cultura de privacidad; y las empresas internalicen que la protecciónde la información personal no es una carga sino un compromiso. Se trata, en definitiva, de usar estasnuevas posibilidades que nos ofrece la tecnología con una gran dosis de humanidad; y esto necesitauna respuesta desde el Derecho.


BIBLIOGRAFÍA

Libros y artículos:

ÁLVAREZ-CIENFUEGOS SUÁREZ, J. M., La defensa de la intimidad de los ciudadanos y la tecnología•informática, Editorial Aranzadi, Pamplona, 1999

ARELLANO MÉNDEZ, Alberto, "La regulación jurídica de la información genética" en Derecho•comparado de la información, Nº 6, julio-diciembre, Ediciones de la Universidad Nacional Autónoma deMéxico y del Instituto de Investigaciones Jurídicas, México D.F., 2005.

BESCÓS TORRES, Modesto; Contratos de Exportación y Comercio Electrónico, Editorial del Instituto•Español de Comercio Exterior (ICEX), Madrid, 2003.

CASTELLÓ, A.; Estrategias empresariales en la web 2.0. Las redes sociales online, Editorial del Club•Universitario, Alicante, 2010.

COSTA PICAZO, Rolando (trad.), IBM y el Holocausto, Ediciones Atlántida, Buenos Aires, 2001.•

CUKIER, K., Los big data y el futuro de los negocios, Editorial del BBVA, Madrid, 2014.•

EVANS, P., Reinventar la empresa en la era digital, Editorial del BBVA, Madrid, 2014.•

FERNÁNDEZ VILLAZÓN, Luis Antonio “El nuevo reglamento europeo de protección de datos” en Foro.•Revista Jurídica de Ciencias Sociales, vol. 19, núm. 1, Madrid, 2016, pp. 395-411.

FERRER TAPIA, Belén “Protección de datos y redes sociales” en Algunos desafíos en la protección de•datos personales, Editorial Comares, 2018.

GARCÍA MEXÍA, Principios de Derecho de Internet, Tirant lo Blanch, Valencia, 2005.•

GONZÁLEZ, ENRIC, "IBM, al servicio del holocausto: Un libro describe cómo el régimen de Hitler•clasificó a sus víctimas con material de la firma estadounidense" en Diario El País, Ediciones El País S.L.,New York, 2001, pp. 8-10.

GONZÁLEZ, Francisco; Reinventar la empresa en la era digital, Editorial BBVA, Madrid, 2015.•

GÓMEZ-JUÁREZ SIDERA, I. “Hacia un nuevo derecho de protección de datos para las personas•especialmente vulnerables en la sociedad digital del Siglo XXI: los niños y las personas mayores” en RevistaCESCO de Derecho de Consumo, núm. 14/2015, Madrid, 2015, pp. 217-240.

HERNÁNDEZ CORCHETE, J.A. “Transparencia en la información al interesado del tratamiento de sus•datos personales y en el ejercicio de sus derechos” en Reglamento General de Protección de Datos: haciaun nuevo modelo europeo de privacidad. Editorial Reus, Madrid, 2016, pp. 205-226.

HERNÁNDEZ LÓPEZ, José Miguel; El derecho a la protección de Datos Personales en la Doctrina del•Tribunal Constitucional, Editorial Thomson Reuters Aranzadi, Madrid, 2013.

HERRÁN ORTIZ, Ana Isabel; La violación de la intimidad en la protección de datos personales, Editorial•Dykinson, Madrid, 1998.

JÜRGEN SCHWABE, Jurisprudencia del Tribunal Constitucional Federal Alemán, Editorial Fundación•Konrad Adenauer, México D.F., 2009.

LOPEZ AGUILAR, Juan Fernando. “La Protección de Datos Personales en la más reciente Jurisprudencia•del TJUE: Los Derechos de la CDFUE como parámetro de validez del derecho europeo, y su impacto enla relación transatlántica UE-EUUU” en Revista UNED: Teoría y Realidad Constitucional, núm. 39, Madrid,2017, pp. 557-581.

MARTÍNEZ MARTÍNEZ, Ricard. Nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos•Digitales, ESPECIALES Wolters Kluwer, Madrid, 2018.

MURILLO DE LA CUEVA, Pablo Lucas y PIÑAR MAÑAS, José Luis, El derecho a la autodeterminación•informativa, Madrid, Fundación Coloquio Jurídico Europeo, 2009.

PARLAMENTO EUROPEO, Fichas técnicas temáticas sobre la Unión Europea – 2019 (Protección de•datos personales), s/l, 2019

PÉREZ LUÑO, A.E. “La protección de los datos personales del menor en Internet” en Anuario Facultad•de Derecho, Universidad de Alcalá, Alcalá de Henares, 2009. pp. 143-175.

PIÑAR MAÑAS, J. L.; “¿Existe privacidad?” en Protección de datos personales. Compendio de lecturas•y legislación, Editorial Tiro Corto Editores, Ciudad de México, 2010.


QUESADA MONGE, Daniel Federico, “Transparencia administrativa, acceso a la información y•protección de datos personales: Criterios para una conciliación de derechos desde la jurisprudencia delTribunal de Justicia de la Unión Europea y la Ley 19/2013, de 9 de diciembre, de Transparencia, Accesoa la Información Pública y Buen Gobierno” Universidad Autónoma de Madrid, Madrid, 2017.

QUIROGA LEÓN, J. A., "Sobre el desinterés y el desconocimiento de una Ley: La Protección de Datos•Personales: ¡Bienvenidos al tema!" Revista La Ley, el ángulo legal de la noticia, mayo 2015, Ediciones LaLey, Lima, 2015, s/p.

REMOLINA ANGARITA, N., Aproximación constitucional de la protección de datos personales en•Latinoamérica en Revista Internacional de Protección de Datos Personales, Bogotá, s/e, 2012.

REMOLINA ANGARITA, Nelson; "Insuficiencia de la regulación Latinoamericana frente a la recolección•internacional" en Quaestiones Disputatae 2, Editorial de la Pontificia Universidad Javeriana, Bogotá, 2012,pp. 179-226.

RALLO, Artemi, “El derecho al olvido en Internet. Google vs. España” en Cuadernos y Debates, N° 233,•Centro de Estudios Políticos y Constitucionales, Madrid, 2014.

TÜRK, Alex, "La ley francesa de protección de datos de carácter personal" en Hacia un nuevo Reglamento•de la Ley Orgánica de Protección de Datos, Ediciones Santander, Santander, 2005.

Sentencia del Tribunal Federal Aleman:

Sentencia de la Primera Sala del Tribunal Constitucional Federal Alemán, del 15 de diciembre, 1983(1, BvR 209, 269, 362, 420, 440, 484/83).

Sentencias del Tribunal de Justicia Europeo:

Sentencia del Tribunal de Justicia de 6 de noviembre de 2003, asunto C-101/01 (caso Lindqvist)

Sentencia del Tribunal de Justicia (Gran Sala) de 16 de diciembre de 2008, asunto C-73/07 (casoSatakunnan Markkinapörssi y Satamedia),

Sentencia del Tribunal de Justicia (Sala Tercera) de 1 de octubre de 2015, asunto C-201/14, (casoBara)

Sentencia del Tribunal de Justicia (Gran Sala) de 29 de junio de 2010, asunto C-28/08 P (casoComisión/Bavarian Lager)

Sentencia del Tribunal de Justicia de 20 de mayo de 2003, asuntos C-465/00, C-128/01 y C-139/01(caso Österreichischer Rundfunk y otros)

Sentencia del Tribunal de Justicia (Gran Sala) de 6 de octubre de 2015, asunto C-362/14 (casoSchrems).

Sentencia del Tribunal de Justicia (Gran Sala) de 13 de mayo de 2014, asunto C-131/12 (caso Google)

Sentencia del Tribunal de Justicia (Gran Sala) de 8 de abril de 2014 — Comisión Europea/Hungría(Asunto C-288/12)

Informes u otros pronunciamientos

RED IBEROAMERICANA DE PROTECCIÓN DE DATOS PERSONALES, Declaración del VIIIEncuentro RIPD - "Declaración de México" suscrita en el marco del VIII Encuentro Iberoamericanode Protección de Datos, Ciudad de México, 2010.

RED IBEROAMERICANA DE PROTECCIÓN DE DATOS PERSONALES, Declaración del VI En-cuentro RIPD, “Declaración de Cartagena: Un compromiso para alcanzar estándares internacionalesde protección de datos y privacidad”, suscrita en el marco del VI Encuentro Iberoamericano de Pro-tección de Datos, Cartagena de Indias, Colombia, 2008.


EL PRINCIPIO DE RESPONSABILIDAD Y EL REGLAMENTO EUROPEO

DE PROTECCIÓN DE DATOS

Felipe Eduardo Rotondo1

1 Doctor en Derecho y en Diplomacia por la Universidad de la República Oriental del Uruguay. Diplomado en Direcciónen Administración Pública-Instituto Nacional de Administración Pública-España. Catedrático de Derecho Público-Administrativo y Profesor en Cursos de Maestría de Derecho, Universidad de Montevideo. Integrante del ConsejoEjecutivo de la Unidad Reguladora y de Control de Datos Personales de Uruguay, al que preside anualmente en al-ternancia con otro miembro.




ISSN 2530-4496 – AÑO 1, N° 6, 2019, PÁGS. 135-152

RESUMEN:

Este trabajo considera el Derecho a la Protección de Datos Personales en su aspecto objetivo y subje-tivo a la luz del Reglamento Europeo de Protección de Datos y específicamente en relación a un prin-cipio básico del Estado democrático de Derecho, cual es el de responsabilidad. Se examina surelevancia, su regulación básica en dicho Reglamento y algunas de las incidencias que este ha tenidoen el Derecho comparado.

PALABRAS CLAVE:

Persona y sus derechos, principios de la protección de datos personales, responsabilidad proactiva

ABSTRACT:

This work considers the Right to the Personal Data Protection in its objective and subjective dimension,following the Regulation (EU) 2016/679 of the European Council and Parliament, focusing particularlyon the principle of responsibility, essential in a democratic State. It is examined its relevance, itsbasic regulation, its configuration as accountability, as well as some of the incidents that, regarding tothat principle, that Regulation has had in Comparative Law.

KEYWORDS:

Person and their rights, principles of personal data protection, proactive responsibility.

INTRODUCCIÓN

1. La persona humana es el centro del Estado democrático de Derecho, cuyo régimen jurídico le re-conoce derechos que son fundamentales porque provienen de la dignidad que le es inherente.

Esta dignidad es un atributo que se relaciona con su propia condición y que vale con independenciade la dignidad moral de cada individuo de la especie2/3 .

Los derechos de las personas reciben diversas denominaciones (derechos humanos, fundamentales,etc.), pero lo que importa es que, con cualesquiera de ellas “se aspira noblemente, a realzar la dignidady la autonomía de la persona humana, para insertarla decorosamente en el marco de la convivenciasocial y del régimen político: hay derechos humanos porque el hombre, cada hombre y todo hombre,tiene una naturaleza en virtud de la cual hay exigencias que provienen del orbe del valor, a las quedebe darse recepción en ese otro ámbito cultural de la vida humana, que es el mundo jurídico-polí-tico”4.

Tales derechos tienen una doble dimensión: una subjetiva, según la cual constituyen una posición ju-rídica en relación de alteridad, y una objetiva, al configurarse como normas de principio que explicitanun sistema de valores que rigen en todas las esferas del Derecho .

2. Suele hacerse referencia a generaciones de los derechos, que el Estado debe garantizar y que se

2 Conf. ARDAO, Arturo. “El hombre en cuanto objeto axiológico”, en El hombre y su conducta. Ensayos filosóficos enhonor de Risieri Frondizi. Puerto Rico 1980, cit. por GROS ESPIELL, Héctor, “La dignidad humana en los instru-mentos internacionales sobre Derechos Humanos” .Anuario de Derechos Humanos. Nueva época Vol. 4. Institutode Derechos Humanos. Facultad de Derecho. Universidad Complutense. Madrid 2003, p. 193.

3 La dignidad humana se debe a que la persona es una unidad y una totalidad en sí misma, representa un punto de inte-racción de lo físico, psíquico y espiritual, lo que la hace un fin en sí y que tenga capacidad de apartarse de lo psicofísicoy trascenderse, de ser profunda y finalmente responsable, conf. FRANKL, Víctor E. cit. por POLAINA LORENTE.Aquilino “Actualidad de la voluntad del sentido”, Rev. Berit Internacional Año VI Nº 9. Sgo. de Chile 2008, p. 11.

4 BIDART CAMPOS, Germán J. “Teoría General de los Derechos Humanos”. Instituto de Investigaciones Jurídicas.UNAM México 1989, pp. 15-16.

EL PRINCIPIO DE RESPONSABILIDAD Y EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

proyectan en la relación público-privada y en la privada-privada. En todos ellos, de una manera u otra,se configuran nuevas facetas por la incidencia de la sociedad tecnológica.

En ese sentido y dada la fuerza expansiva de los derechos, con base en el de la intimidad y el másamplio de la privacidad, se ha desarrollado el relativo a la protección de los datos personales en unentorno en que el obligado es tanto público como privado, constituyendo un derecho humano de tercerageneración. Este “derecho fundamental al debido tratamiento de los datos personales”, es “elementoconsustancial de la democracia”5.3. El Reglamento (UE) 2016/79 del Parlamento Europeo y del Consejo (en adelante RGPD), en suPrimer “Considerando” expresa sobre este aspecto que “La protección de las personas físicas en re-lación con el tratamiento de datos personales es un derecho fundamental” y menciona diversos textosjurídicos de la Unión Europea6.

El art. 1 trata de su “Objeto”, cual es establecer “las normas relativas a la protección de las personasfísicas en lo que respecta al tratamiento de los datos personales” y “las relativas a la libre circulaciónde tales datos”. Su apartado 2 precisa que el Reglamento “protege los derechos y libertades funda-mentales de las personas físicas y, en particular, su derecho a la protección de los datos personales”.Por cierto este derecho no es absoluto como lo señala el “Considerando” 4 del RGPD: “debe consi-derarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos, conarreglo al principio de proporcionalidad. (...)”.El Reglamento propicia, además, un “marco más sólido y coherente” que se ejecute de modo estricto,lo que dice relación con “la seguridad jurídica y práctica para las personas físicas, los operadoreseconómicos y las autoridades públicas” (“Considerando” 7). La efectividad de tal caracterizacióncontribuye, sin duda, “a la plena realización de un espacio de libertad, seguridad y justicia y de unaunión económica, al progreso económico y social, al refuerzo y la convergencia de las economíasdentro del mercado interior, así como al bienestar de las personas físicas” (“Considerando” 2).En su parte dispositiva, el RGPD marca también que su “Objeto” es “la libre circulación de los datospersonales en la Unión”, “la cual no podrá ser restringida ni prohibida por motivos relacionadoscon la protección de las personas físicas en lo que respecta al tratamiento de datos personales” (art.1. 3).

Propicia, asimismo, un régimen común en lo que atañe a responsabilidad como surge del “Conside-rando” 13: “Para garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitardivergencias que dificulten la libre circulación de datos personales dentro del mercado interior, esnecesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores eco-nómicos, incluidas las microempresas y las pequeñas y medianas empresas, y ofrezca a las personasfísicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de res-ponsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una su-pervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estadosmiembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estadosmiembros”

1. PRINCIPIOS DE DERECHO. EL DE RESPONSABILIDAD

5 REMOLINA ANGARITA, Nelson. “Tratamiento de Datos Personales. Aproximación Internacional y comentarios ala Ley 1581 de 2012”, Legis Ed. S.A. Colombia 2013, pp. 15 y 30-40.

6 Carta de los Derechos fundamentales, art. 8 ap. 1 y Tratado de Funcionamiento de la UE, art. 16 ap. 1. El 2º “Conside-rando” del RGPD también interesa ya que expresa que “Los principios y normas relativos a la protección de las per-sonas físicas en lo que respecta al tratamiento de sus datos de carácter personal deben, cualquiera que sea sunacionalidad o residencia, respetar sus libertades y derechos fundamentales, en particular el derecho a la protecciónde los datos de carácter personal. (...)”.

Felipe Eduardo Rotondo

1. Los principios son “las reglas fundamentales en la materia, que explicitan los valores superioresdel ordenamiento al que contribuyen a dar coherencia”, “son directamente aplicables, tienen un es-pecífico desarrollo en la legislación, y sirven de criterio interpretativo para resolver las cuestionesque puedan suscitarse en la aplicación de las disposiciones pertinentes (...) y, por cierto, tambiénpara integrar el sistema”7. Poseen naturaleza jurídica y están interrelacionados.

2. El Estado de Derecho, visión jurídica del sistema democrático, se rige por su esencia por el principiode juridicidad, el cual implica la sujeción del Estado, de sus autoridades y funcionarios, así como detodos los sujetos de derecho al ordenamiento, incluyendo en este a los principios8.

La denominación de principio de juridicidad es, entonces, más precisa que la de legalidad al explicitarla sumisión a los principios y normas jurídicas (no solamente a la ley).

2. El referido principio va ligado al de responsabilidad ya que “quien dice Derecho, dice responsabi-lidad”9.Esta se relaciona directamente con los caracteres del ser humano que como persona, entidad racionaly libre, es per se responsable en el sentido de poseer la capacidad de responder en abstracto y la per-tinencia de hacerlo respecto a actos u operaciones concretas.

La teoría de la responsabilidad es, entonces, un tema jurídico general aplicable al Derecho público yal privado, con facetas propias en cada una de sus ramas.

Esa teoría es “la vertiente por la cual se infunde en el frío ordenamiento normativo el calor de la exi-gencia del comportamiento justo y honesto; por ello se erige en columna vertebral del Derecho (…);es la vertiente más poderosa que permite vincular los órdenes del ser y del deber ser”10.A su vez la responsabilidad requiere el control como complemento ineludible, sea el autocontrol dequien actúa y específicamente el que desarrolle un controlante ajeno, que evalúe la actuación a diversosefectos, sea correctivos, sancionatorios, etc.

2. PRINCIPIO DE RESPONSABILIDAD EN MATERIA DE DATOS PERSONALES. VISIÓNGENERAL. SUJETOS

1. “La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto conotros, determine los fines y medios del tratamiento” de datos (“responsable” para el RGPD, art. 4 ap.7)11, actuará responsablemente si cumple con los principios y normas correspondientes. Si no lo hace,si actúa irresponsablemente, deberá asumir las consecuencias que corresponden a las usualmente co-nocidas responsabilidades civil, penal o administrativa.

2. El principio de responsabilidad implica, entonces, la asunción por parte del “responsable” y, en sucaso, del encargado del tratamiento, de la normativa aplicable respecto a una serie de conductas queen ellos recaen como sujetos pasivos.

En ese sentido y por lo antes expuesto, incluye lo que el RGPD, art. 5.1 prevé como “principios rela-

7 DELPIAZZO, Carlos E y ROTONDO, Felipe. “El Derecho a la Protección de los Datos Personales”, en Cap. .I In-formática y Derecho. Manual de Derecho Informático e Informática Jurídica II. FCU Mdeo. 2018, p. 29.

8 En el Uruguay, el Decreto-Ley Orgánico del Tribunal de lo Contencioso Administrativo, Nº 15.524 de 9-I-1984, art.23 “a”. define las reglas de Derecho como “todo principio de derecho o norma constitucional, legislativa, reglamen-taria o contractual”. La normativa internacional se desprende de los principios y normas indicadas, en especial lasrelativas a derechos humanos; así de la Constitución cuyo art. 72 establece: “La enumeración de derechos, deberesy garantías hecha por la Constitución, no excluye los otros que son inherentes a la personalidad humana o se derivande la forma republicana de gobierno”.

9 SOTO KLOSS, Eduardo. ”Derecho Administrativo”, Ed. Jurídica de Chile, Sgo de Chile, 1996, T. II, p. 285 y ss.

10 TASTI, Silvia Ana. “Presentación” en “Responsabilidad de los funcionarios públicos”. Ghersi y otr. Bs. As. 1987.

11 Igual texto que el del art. 2 “d” de la Directiva 95/46/CE del Parlamento y del Consejo de 24-X-1995. También esigual la definición del “encargado del tratamiento” (persona física o jurídica, autoridad pública, servicio o cualquierotro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del trata-miento”, arts. 4 ap. 8 del RGPD y 2 “e” de la Directiva citada.


tivos al tratamiento”: hacerlo de manera lícita, leal y transparente en relación con el interesado, recogerlos datos personales con fines determinados, explícitos y legítimos y no tratarlos ulteriormente confines incompatibles; que ellos sean “adecuados, pertinentes y limitados a lo necesario en relacióncon los fines (…) (‘minimización de datos)”; que sean “exactos” y, en su caso, actualizarlos; limitartemporalmente el plazo de su conservación; tratarlos de manera que se garantice una seguridad ade-cuada, aplicando “medidas técnicas u organizativas apropiadas” (‘integridad y confidencialidad’).Con este criterio, el principio de responsabilidad viene a constituir una especie de supra principio o“principio-paraguas”, que comprendería los de veracidad, finalidad, seguridad de los datos, reserva,confidencialidad, etc.

Ello de alguna manera surgía de la Directiva 95/46/CE, en tanto luego de enunciar similares conductasen el art. 6.1, su apartado 2 decía: “Corresponderá a los responsables del tratamiento garantizar elcumplimiento de lo dispuesto en el apartado 1”.3. En relación al encargado, el RGPD, art. 28, establece el régimen aplicable. A lo previsto en el art.17 de la Directiva 95/46/CE, nominado “Seguridad del tratamiento”, se agregan aspectos sobre laposible recurrencia a “otro encargado” (subencargado), con “autorización previa por escrito, especí-fica o general” del responsable, y a los ítems que el contrato u otro acto jurídico que vincule a esossujetos debe contener: objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales,etc. y las diversas obligaciones, todas ellas dirigidas a la protección de las situaciones jurídicas enjuego, en especial la de los titulares de los datos o interesados12.

Importa, también, lo que prevé el art. 26 al establecer la situación que denomina “Corresponsablesdel tratamiento”:

“1. Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del trata-miento serán considerados corresponsables del tratamiento. Los corresponsables determinarán demodo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de lasobligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los dere-chos del interesado y a sus respectivas obligaciones de suministro de información (…), salvo, y en lamedida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estadosmiembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los in-teresados. 2. El acuerdo indicado en el apartado 1 reflejará debidamente las funciones y relacionesrespectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del in-teresado los aspectos esenciales del acuerdo. 3. Independientemente de los términos del acuerdo aque se refiere el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presenteReglamento frente a, y en contra de, cada uno de los responsables”.Este último numeral protege al titular de los derechos que integran el complejo de facultades de laprotección de datos, más allá de acuerdos en que ellos no sean parte aunque puedan acceder a su con-tenido, en lo que es expresión del principio de transparencia.

3. PRINCIPIO DE RESPONSABILIDAD. SU CONFIGURACIÓN EN EL RGDP

1. La responsabilidad aparece en calidad de “proactiva” con una configuración que lleva a que sehable del principio de accountability en tanto y en cuanto destaca el rendir cuentas (“responder, origenlatino de la palabra responsabilidad) aplicada a la protección de datos personales, lo cual comprendediversos aspectos y el enfoque de que los responsables y, en su caso, los encargados del tratamiento,adopten medidas de cumplimiento efectivo de la normativa. Postula una posición preventiva y diligentey que ella pueda acreditarse en vez de un modelo reactivo, con una modalidad diversa en la operaciónde los datos personales.

12 Así garantizar que las personas autorizadas a tratar datos personales se comprometan a respetar la confidencialidad,suprimir o devolver aquellos finalizada la prestación de servicios y suprimir las copias, como regla de principio; ponera disposición del responsable la información que permita demostrar el cumplimiento de sus obligaciones, etc.


Esta nueva configuración tiene antecedente en las Directrices de la Organización para la Cooperacióny el Desarrollo Económico (OCDE) de 23-IX-1980 ajustadas el 12-IX-2013 y en el Dictamen Nº3/2010 del Grupo de Trabajo del art. 29 de la Directiva Europea 95/46/CE, de 13-VII-2010. Este ex-presa que los principios y obligaciones de protección de datos “no se reflejan suficientemente en me-didas internas y prácticas concretas. Si la protección de datos no forma parte de los valorescompartidos y las prácticas de una organización y no se asignan expresamente responsabilidades porla misma, se corre un gran peligro de que no se respeten y de que se sigan produciéndose desajustesen la protección de datos”. Al efecto propone introducir el principio de responsabilidad “que recla-maría de los responsables del tratamiento de datos la implementación de medidas apropiadas y efec-tivas que garantizaran” el debido cumplimiento y que lo “demostraran cuando se lo solicitaran lasautoridades de control. Ello contribuiría a que la protección de datos progresara ‘de la teoría a lapráctica’ y ayudaría a las autoridades de protección de datos en sus funciones de supervisión y eje-cución”. Agrega que se trata de “mostrar cómo se ejerce la responsabilidad y hacer esto verificable”13.En el RGPD, el “Considerando” 74 explicita tal objetivo:

“Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier trata-miento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debeestar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad delas actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichasmedidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento asícomo el riesgo para los derechos y libertades de las personas”14/15.

2. El significado del principio de responsabilidad proactiva, obviamente, está directamente re-lacionado con una visión tuitiva de los derechos de los titulares de datos personales ya que im-plica obligaciones del responsable y encargado cuyo cumplimiento real y efectivo se asegura conacciones específicas. Determina, entonces, un cambio relevante de perspectiva en relación a este prin-cipio ya que se lo enfoca hacia una cultura de prevención en la operación de protección de los datospersonales.

Al efecto el Capítulo IV del RGPD incluye los siguientes instrumentos para cumplir y acreditar unarendición de cuentas, los cuales están interrelacionados:

A) Adopción de “medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrarque el tratamiento es conforme con el presente Reglamento” acorde con la naturaleza, ámbito, contextoy fines del tratamiento, riesgos probables según su gravedad para las personas, art. 24.116.

13 https://sontusdatos.org/wp-content/uploads/2013/04/ce-dictamen-3-2010-principio-de-responsabilidad.pdfResumen. Pág. visitada el 21-III-2019.

14 También lo hace el “Considerando” 78: “La protección de los derechos y libertades de las personas físicas con res-pecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con elfin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidadcon el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas quecumplan en particular los principios de protección de datos desde el diseño y por defecto (...)”.

15 El “Considerando” 78 señala que “Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamientode datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tra-tamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable deltratamiento crear y mejorar elementos de seguridad. Al desarrollar, diseñar, seleccionar y usar aplicaciones, serviciosy productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir sufunción, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derechoa la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren,con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están encondiciones de cumplir sus obligaciones en materia de protección de datos. Los principios de la protección de datosdesde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos”.

16 La Ley Orgánica española 3/018, de 5-XII, art. 28, en línea con lo preceptuado por el RGPD refiere a “!os mayoresriesgos que podrían producirse en los siguientes supuestos: a) Cuando el tratamiento pudiera generar situacionesde discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de con-fidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro


Por otra parte impone la revisión y actualización, cuando proceda, de tales medidas y el apartado 2incluye la aplicación de “las oportunas políticas de protección de datos”, “cuando sean proporcio-nadas en relación con las actividades de tratamiento”.

B) Adhesión a códigos de conducta17 o a un mecanismo de certificación18 aprobados, a fin de “de-mostrar el cumplimiento de las obligaciones (...)”, art. 24.3. Por cierto tal certificación y los sellosde calidad, mediante esa demostración se constituyen en un elemento de promoción de la competiti-vidad de los responsables19.

C) Protección de datos desde el diseño y por defecto, art. 25.

La privacy by design implica “medidas técnicas y organizativas apropiadas” en el momento de de-terminar los medios de tratamiento como al desarrollarse este, “teniendo en cuenta el estado de la téc-nica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como losriesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertadesde las personas físicas (...)”. Expresamente menciona la seudonimización y la minimización de datos.

La privacy by default, por su parte, refiere a la aplicación de aquellas medidas “con miras a garantizarque, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cadauno de los fines específicos del tratamiento”, lo que abarca la cantidad de datos recogidos, la extensióndel tratamiento, el plazo de conservación y su accesibilidad. “Tales medidas garantizarán, en parti-cular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, aun número indeterminados de personas físicas”.

Las referidas medidas llevan a reducir al máximo el tratamiento de datos personales, contribuyen a sutransparencia y permiten la anticipación y la mejora de las medidas de seguridad de los tratamientos.

La relevancia de estas conductas seguramente llevó a que en los “Considerandos” 78 y 108 del RGPDse aluda a los principios de la protección de datos desde el diseño y por defecto los que en tanto talesserían específicos en relación a los “principios generales relativos al tratamiento de los datos perso-nales”, especialmente, entonces, al de responsabilidad.

perjuicio económico, moral o social significativo para los afectados. b) Cuando el tratamiento pudiese privar a losafectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales. c)Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a lasque se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos rela-cionados con la comisión de infracciones administrativas. d) Cuando el tratamiento implicase una evaluación de as-pectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particularmediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, susalud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localizacióno sus movimientos. e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especialvulnerabilidad y, en particular, de menores de edad y personas con discapacidad. f) Cuando se produzca un trata-miento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datospersonales. g) Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a tercerosEstados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protec-ción. h) Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particularaquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación”.

17 Estos deben “contener mecanismos que permitan (…) efectuar el control obligatorio del cumplimiento de sus dispo-siciones por los responsables o encargados que se comprometan a aplicarlo (…)”, art. 40.4.

18 Este está regulado por el art. 42, del cual se destaca que la certificación se dará por un lapso máximo de tres años re-novables y que se retirará si no se cumplen los requisitos debidos, apartado 7.

19 Sobre el tema interesan los “Considerandos” 98 a 100 del RGPD; el último expresa: “A fin de aumentar la transpa-rencia y el cumplimiento del presente Reglamento, debe fomentarse el establecimiento de mecanismos de certificacióny sellos y marcas de protección de datos, que permitan a los interesados evaluar con mayor rapidez el nivel de pro-tección de datos de los productos y servicios correspondientes”.


D) Registro de las actividades de tratamiento

El responsable o, en su caso, el encargado del tratamiento deben llevar un registro escrito de estas ac-tividades, el que puede ser electrónico, tendrá el contenido que fija el art. 3020 y estará a disposicióndel órgano de control. Tal obligación aplica a “empresa” u “organización” con no menos de 250 em-pleados, si bien lo será en todo caso si el tratamiento realizado puede ocasionar riesgos para los dere-chos o libertades de los interesados; no es ocasional o incluye datos personales sensibles (según art.9.1) o los relativos a condenas o infracciones penales (según art. 10).

E) E valuación de impacto

El privacy impact assessment (PIA) procede en caso de que el tratamiento, “en particular si utilizanuevas tecnologías”, “por su naturaleza, alcance, contexto o fines” suponga “un alto riesgo para losderechos y libertades de las personas físicas (...)”, art. 35

Un análisis del caso permitirá determinar el origen, la índole y seriedad del riesgo así como contribuira las medidas pertinentes de seguridad o de otra naturaleza. La evaluación es preceptiva si los tra-tamientos consisten en la “evaluación sistemática y exhaustiva de aspectos personales de personasfísicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuyabase se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afectensignificativamente de modo similar”; el “tratamiento a gran escala de las categorías especiales”de datos sensibles o de datos personales relativos a condenas e infracciones penales o la “obser-vación sistemática a gran escala de una zona de acceso público”.El análisis de riesgos y, en su caso, la evaluación de impacto coadyuva a atender los valores ínsitos enla protección de los datos personales y al debido comportamiento de un responsable, con seriedad so-cial en su gestión.

El “Considerando” 89 del Reglamento lo destaca, al referir a la sustitución de una “obligación gene-ral”, “indiscriminada” de notificación a la autoridad de control con cargas administrativas y finan-cieras, que no siempre sirvió para mejorar la protección de datos personales, por “procedimientos ymecanismos eficaces”, según los tipos de operaciones de tratamiento, que pueden llevar a una eva-luación de impacto21. Los referidos análisis yevaluación consecuente incluirán el examen de las medidas de seguridad, las que serán de índole téc-nica y organizativa; en ese sentido por ejemplo, el acceso mediante contraseñas seguras, copias de se-guridad, encriptación de comunicaciones22, si bien el aspecto de seguridad merece una menciónseparada.

20 En el caso del responsable, su nombre y datos de contacto , si corresponde los del corresponsable y representante, asícomo del delegado de protección de datos; fines del tratamiento; descripción de categoría de interesados y de losdatos personales; tipo de destinatarios a quienes se efectúa comunicación, incluidos los casos de transferencias inter-nacionales; respecto a estas, la documentación de sus garantías; cuando sea posible los plazos previstos para la su-presión de los datos y una descripción general de las medidas técnicas y organizativas de seguridad.

21 Sobre el particular interesa lo desarrollado en ese “Considerando” y los siguientes, hasta el 95. El 94 expresa: “Debeconsultarse a la autoridad de control antes de iniciar las actividades de tratamiento si una evaluación de impactorelativa a la protección de datos muestra que, en ausencia de garantías, medidas de seguridad y mecanismos desti-nados a mitigar los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personasfísicas, y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables en cuantoa tecnología disponible y costes de aplicación. Existe la probabilidad de que ese alto riesgo se deba a determinadostipos de tratamiento y al alcance y frecuencia de este, lo que también puede ocasionar daños y perjuicios o una in-jerencia en los derechos y libertades de la persona física. La autoridad de control debe responder a la solicitud deconsulta dentro de un plazo determinado. Sin embargo, la ausencia de respuesta de la autoridad de control dentrode dicho plazo no debe obstar a cualquier intervención de dicha autoridad basada en las funciones y poderes que leatribuye el presente Reglamento, incluido el poder de prohibir operaciones de tratamiento. Como parte de dicho pro-ceso de consulta, se puede presentar a la autoridad de control el resultado de una evaluación de impacto relativa ala protección de datos efectuada en relación con el tratamiento en cuestión, en particular las medidas previstas paramitigar los riesgos para los derechos y libertades de las personas físicas”.

22 Cabe tener en cuenta las Directrices sobre Evaluación de Impacto del Grupo de Trabajo del art. 29 -Directiva 95/46/CE-, documento WP 248.


F) Establecimiento de mecanismos de seguridad

El art. 32 del RGPD prevé que: “1. Teniendo en cuenta el estado de la técnica, los costes de aplicacióny la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidady gravedad variables para los derechos y libertades de las personas físicas, el responsable y el en-cargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar unnivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización yel cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, dispo-nibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de res-taurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físicoo técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las me-didas técnicas y organizativas para garantizar la seguridad del tratamiento”.Al evaluarse la adecuación del nivel de seguridad, se tendrán en cuenta los riesgos, en especial los de-rivados de “destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos,conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. En caso de que estas circunstancias acaezcan se produciría una “violación de la seguridad de los datospersonales”, según la definición del art. 4.12, como incidente de seguridad que afecta derechos de laspersonas23.

La breach data debe ser comunicada de manera fehaciente por el responsable al órgano de con-trol competente “sin dilación indebida y de ser posible, a más tardar 72 después de que haya(n) te-nido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituyaun riesgo para los derechos (...)”. Si se efectúa fuera de las 72 horas, procede indicar los motivosde la dilación, art. 33.1

El encargado debe comunicarlo “sin dilación indebida” al responsable, art. 33.2, lo que debe in-terpretarse armónicamente con el apartado 1 a fin de que este sea cumplido. También se prevéque la información se brinde “de manera gradual sin dilación indebida”, obviamente en tantoexista fundamento a esos efectos.

Para todo ello, corresponde documentar cualquier violación, “incluidos los hechos relacionadoscon ella, sus efectos y las medidas correctivas adoptadas”, art. 33.5.

El apartado 3 de esa disposición refiere a que en la “notificación” se describirá un contenidomínimo que comprende “(…) d) las medidas adoptadas o propuestas por el responsable para ponerremedio a la violación de seguridad de los datos personales, incluyendo, si procede, las medidasadoptadas para mitigar los posibles efectos negativos”.El art. 34 trata de la “comunicación” al interesado de manera que este pueda tomar “las pre-cauciones necesarias” (términos del “Considerando” 86, que añade que la comunicación debeefectuarse “tan pronto como sea razonablemente posible y en estrecha cooperación con la autoridadde control, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridadespoliciales”).

Se delimita esta comunicación para “cuando sea probable que la violación de la seguridad” “en-trañe un alto riesgo para los derechos y libertades de las personas físicas”, art. 34.1 y la exceptúaen los casos en que se cumpla alguna de las condiciones del apartado 3 del art. 3424.

Los daños y perjuicios derivados de los incidentes de seguridad para el interesado pueden ser“físicos, materiales o inmateriales”, por ejemplo la “pérdida de control sobre sus datos personaleso restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, re-

23 Sobre el tema cabe tener presente las Directrices sobre notificación de brechas de la seguridad de los datos personalesadoptadas el por el Grupo de Trabajo del artículo 29 – D.95/46/CE·-documento WP29 de 3-X-2017.

24 Entre ellas, si se adoptaron medidas que enerven la probabilidad del alto riesgo o si resulta pertinente una comunicaciónpública o similar por el “esfuerzo desproporcionado” que implicaría la notificación a los interesados.


versión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidadde datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativopara la persona física en cuestión” (“Considerando” 85, el cual agrega que la comunicación fe-haciente y sin dilación de la violación de seguridad a la autoridad de control se dará “a menosque el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la im-probabilidad” del riesgo; el “Considerando” 83 refiere, por su parte, a los riesgos de destrucción,pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratadosde otra forma, o la comunicación o acceso no autorizados a dichos datos”).

G) Designación de un delegado de protección de datos personales

Esta figura institucional tiene requisitos y funciones dirigidos a que en la respectiva organización secumpla con los principios y normas correspondientes, a que ella asuma sus responsabilidades, y loperfilan como garante de un alto nivel de actuación en protección de datos personales.

El responsable y el encargado del tratamiento deben designarlo “siempre que: a) el tratamientolo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejerciciode su función judicial; b) las actividades principales del responsable o del encargado consistan enoperaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una obser-vación habitual y sistemática de interesados a gran escala, o c) las actividades principales del res-ponsable o del encargado consistan en el tratamiento a gran escala de categorías especiales dedatos” sensibles y “de datos relativos a condenas e infracciones penales (...)”, art. 37.125.

Debe contar con condiciones profesionales, en particular “conocimientos especializados del Derechoy la práctica en materia de protección de datos” y “capacidad” para desarrollar sus funciones, lasque “como mínimo”, serán: “a) informar y asesorar al responsable o al encargado del tratamientoy a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud delpresente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estadosmiembros; b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras dispo-siciones de protección de datos de la Unión o de los Estados miembros y de las políticas del respon-sable o del encargado del tratamiento en materia de protección de datos personales, incluida laasignación de responsabilidades, la concienciación y formación del personal que participa en lasoperaciones de tratamiento, y las auditorías correspondientes; c) ofrecer el asesoramiento que se lesolicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación(...); d) cooperar con la autoridad de control; e) actuar como punto de contacto de la autoridad decontrol para cuestiones relativas al tratamiento, (...), y realizar consultas, en su caso, sobre cualquierotro asunto”, art. 39.1. Podrá ser empleado o funcionario del responsable o encargado del tratamiento o hacerlo fuera de larelación de dependencia “en el marco de un contrato de servicios”, pero en todo caso actuará con au-tonomía técnica, de manera tal que no recibirá en el ejercicio de sus funciones como delegado ningunainstrucción ni podrá ser legítimamente sancionado por el ejercicio (normal) de tales funciones.

El RGPD, art. 38.3, dispone además que el delegado tenga una posición estratégica en la organización,ya que “deberá rendir cuentas directamente al más alto nivel jerárquico del responsable o encargado”y si se admite que desempeñe otras funciones, corresponde garantizar que no se configure conflictosde intereses, art. 38.6.

Se trata, pues, de preservar la actuación leal y técnicamente correcta del delegado en lo que atañe a laprotección de datos, para que, a su vez, su organización cumpla como corresponde la normativa apli-cable.

25 Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesibledesde cada establecimiento”, art. 35.2. “Cuando el responsable o el encargado del tratamiento sea una autoridad uorganismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades uorganismos, teniendo en cuenta su estructura organizativa y tamaño”, art. 35.3.


“El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado deprotección de datos y los comunicarán a la autoridad de control”, art. 37.7.

4. RESPONSABILIDAD POR INCUMPLIMIENTO

1. En esta situación procede la aplicación de sanciones, o sea las consecuencias previstas por el orde-namiento jurídico para el caso de incumplimiento.

La Directiva 95/46/CE tenía sobre este tema una previsión bajo la denominación “Responsabilidad”,art. 23, que decía “1. Los Estados miembros dispondrán que toda persona que sufra un perjuiciocomo consecuen cia de un tratamiento ilícito o de una acción incompatible con las disposiciones na-cionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsabledel tratamiento la reparación del perjuicio sufrido. 2. El responsable del tratamiento podrá ser exi-mido parcial o totalmente de dicha responsabilidad si demuestra que no se le puede imputar el hechoque ha provocado el daño”.A su vez, el art. 24, denominado “Sanciones”, decía: “Los Estados miembros adoptarán las medidasadecuadas para garantizar la plena aplicación de las disposiciones de la presente Directiva y deter-minarán, en particular, las sanciones que deben aplicarse en caso de incumplimiento de las disposi-ciones adoptadas en ejecución de la presente Directiva”.Esas disposiciones integraban el Capítulo III, que tenía tres artículos.

2. El RGPD tiene similares previsiones en su Capítulo VIII pero comprende varias disposiciones, losarts. 77 a 84, cada uno de ellos con importante desarrollo, lo que condice con la aplicación directa delRGPD a los Estados y la búsqueda de uniformidad en la materia.

Prevé el “derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento”,arts. 78 y 79, “sin perjuicio de los recursos administrativos o extrajudiciales disponibles”, incluidoel derecho a reclamar ante una autoridad de control.

La referida tutela judicial implica varios aspectos: asegurar el acceso a la Justicia; un proceso con lasgarantías debidas, entre ellas para que en ese proceso las partes argumenten, aporten prueba, puedancontrolar el diligenciamiento de esa u otras pruebas, que toda ella se examine y valor e y, además, lacerteza en lo relativo a la ejecución de la sentencia que se dicte.

Relacionado con el tema, el art. 79.2 dispone que “Las acciones contra un responsable o encargadodel tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que el responsableo encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante lostribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el res-ponsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio desus poderes públicos”.Esta cuestión y los procedimientos de aplicación exceden el objeto de estas líneas.

3. El tema de las garantías emerge también del art. 83.8 para otro ámbito del ejercicio de la respectivapotestad, el administrativo: “El ejercicio por una autoridad de control de sus poderes en virtud delpresente artículo estará sujeto a garantías procesales adecuadas de conformidad con el Derecho dela Unión y de los Estados miembros, entre ellas la tutela judicial efectiva y el respeto de las garantíasprocesales”En ese sentido el “Considerando” 129 expresa:

“(…) Los poderes de las autoridades de control deben ejercerse de conformidad con garantías pro-cesales adecuadas establecidas en el Derecho de la Unión y los Estados miembros, de forma imparcial,equitativa y en un plazo razonable. En particular, toda medida debe ser adecuada, necesaria y pro-porcionada con vistas a garantizar el cumplimiento del presente Reglamento, teniendo en cuenta lascircunstancias de cada caso concreto, respetar el derecho de todas las personas a ser oídas antes de


que se adopte cualquier medida que las afecte negativamente y evitar costes superfluos y molestiasexcesivas para las personas afectadas. Los poderes de investigación en lo que se refiere al acceso ainstalaciones deben ejercerse de conformidad con los requisitos específicos del Derecho procesal delos Estados miembros, como el de la autorización judicial previa. Toda medida jurídicamente vincu-lante de la autoridad de control debe constar por escrito, ser clara e inequívoca, indicar la autoridadde control que dictó la medida y la fecha en que se dictó, llevar la firma del director o de un miembrode la autoridad de control autorizado por este, especificar los motivos de la medida y mencionar elderecho a la tutela judicial efectiva. Esto no debe obstar a que se impongan requisitos adicionalescon arreglo al Derecho procesal de los Estados miembros. La adopción de una decisión jurídicamentevinculante implica que puede ser objeto de control judicial en el Estado miembro de la autoridad decontrol que adoptó la decisión”. Se indican allí, con precisión, los deberes de los órganos admi-nistrativos de control, los principios esenciales que rigen su actuación y las garantías con que debencontar las personas26.

4. El art. 82, con el nomen iuris “Derecho a indemnización y responsabilidad”, trata del “derecho arecibir del responsable o el encargado del tratamiento” la indemnización por daños y perjuicios su-fridos, sean materiales o inmateriales, como consecuencia de una infracción del Reglamento.

El perfil de esta responsabilidad civil surge de los seis apartados de la disposición; en ella se destacala solidaridad que emerge del apartado 4 y su motivación, ya que “Cuando más de un responsable oencargado del tratamiento, o un responsable y un encargado hayan participado en la misma operaciónde tratamiento y sean, con arreglo a los apartados 2 y 3 responsables de cualquier daño o perjuiciocausado por dicho tratamiento, cada responsable o encargado será considerado responsable de todoslos daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado”27.Obviamente sin perjuicio del respectivo derecho de repetición contra los demás responsables o encar-gados por la parte correspondiente.

5. El art. 83 establece el régimen de aplicación de multas administrativas: precisa que ellas deben po-seer las condiciones propias de estas medidas, en particular ser “en cada caso individual efectivas,proporcionadas y disuasorias”. Se trata de expresiones del principio de razonabilidad propio de la juridicidad en el Derecho adminis-trativo correctivo, enfocadas en un aspecto sustancial.

El apartado 2 de este art. 83 tiene en cuenta las circunstancias que determinan la cuantía de la sanción,especìficamente el elemento motivo de la sanción (“naturaleza, gravedad y duración de la infracción”,según la operación de tratamiento, el número de afectados y los daños y perjuicios; el elemento cul-pabilidad (“intencionalidad o negligencia”), los antecedentes del infractor, las medidas que el res-ponsable o encargado hayan adoptado para paliar los daños, el grado de cooperación con el órgano decontrol, la adhesión a códigos de conducta o mecanismos de certificación, etc.

26 El art. 8.1 de la Convención Americana de Derechos Humanos (Pacto de San José de Costa Rica) prevé de igual maneraque “Toda persona tiene derecho a ser oída, con las debidas garantías y dentro de un plazo razonable, por un juez otribunal competente, independiente e imparcial, establecido con anterioridad por la ley, en la sustanciación de cual-quier acusación penal formulada contra ella, o para la determinación de sus derechos y obligaciones de orden civil,laboral, fiscal o de cualquier otro carácter”. La Corte Interamericana de Derechos Humanos tiene jurisprudenciafirme en el sentido de que las garantías allí determinadas son aplicables en los procedimientos administrativos, inclusoen los de carácter sancionatorio (“hacen parte del elenco de garantías mínimas que debieron ser respetadas paraadoptar una decisión que no fuera arbitraria y resultara ajustada al debido proceso” dijo en la sentencia de 3-V-2016, caso Maldonado Ordóñez vs. Guatemala).

27 Interesa transcribir lo que esos apartados establecen: “2. Cualquier responsable que participe en la operación de tra-tamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto porel presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamientocuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargadoso haya actuado al margen o en contra de las instruc ciones legales del responsable. 3. El responsable o encargadodel tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo algunoresponsable del hecho que haya causado los daños y perjuicios”.


El apartado 3 refiere al incumplimiento “de forma intencionada o negligente” (dolo o culpa), en re-lación a las operaciones de tratamiento u operaciones vinculadas, que impliquen infracción de “di-versas disposiciones” del Reglamento, caso en el cual “la cuantía total de la multa administrativa noserá superior a la cuantía prevista para las infracciones más graves”.6. En cuanto al régimen sancionatorio, como se dijo, procede considerar las características de la in-fracción.

En términos de la Ley Orgánica española 3/018 de 5-XII de Protección de Datos Personales y garantíade los Derechos digitales (Preámbulo-Parte V al referir a su Título IX), el RGPD “establece un sistemade sanciones o actuaciones correctivas que permite un amplio margen de apreciación”. En ese marco, dicha ley “procede a describir las conductas típicas, estableciendo la distinción entreinfracciones muy graves, graves y leves, tomando en consideración la diferenciación que el RGPDestablece al fijar la cuantía de las sanciones. La categorización de las infracciones se introduce a lossolos efectos de determinar los plazos de prescripción, teniendo la descripción de las conductas típicascomo único objeto la enumeración de manera ejemplificativa de algunos de los actos sancionablesque deben entenderse incluidos dentro de los tipos generales establecidos en la norma europea”.En ese sentido, entonces, la ley distingue las infracciones muy graves, graves y leves y prevé una pres-cripción, respectivamente, de tres, dos y un año. El instituto de la prescripción responde al valor se-guridad jurídica propio del Estado de Derecho, cuando el factor tiempo no puede resultar indiferente.

Asimismo la Ley Orgánica citada, art. 75, prevé la interrupción de esa prescripción por el inicio, conconocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo de prescripciónsi el expediente se paraliza durante más de seis meses por causas no imputables al presunto infractor.

Por su parte, su art. 78 regula la prescripción de las sanciones de multa según su monto; el plazo deprescripción “comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resoluciónpor la que se impone la sanción o haya transcurrido el plazo para recurrirla”.7. De acuerdo con el RGPD las multas tienen un tope máximo de 10 millones de euros o, tratándosede una empresa, “de una cuantía equivalente al 2% como máximo del volumen de negocio total anualglobal del ejercicio financiero anterior, optándose por la de mayor cuantía” en relación a ciertas in-fracciones. En otros casos, el tope máximo es de 20 millones de euros o del 4%28. El art. 83.2 prevé que ellas pueden ser adicionales o sustitutivas de algunas de las medidas que adoptenlas autoridades de control y que establece el art. 58.2 (advertencia, apercibimiento, mandato u ordende seguir ciertas conductas (atender solicitud de ejercicio de derechos del titular de los datos, comu-nicar violaciones de seguridad, suspender flujos transfronterizos) y limitar o prohibir el tratamiento.

De manera que la norma habilita, en algunos casos, la acumulación de más de una sanción; en cambioen otros, una de las medidas tiene un contenido que no es de esencia punitiva o aplicación de un maljurídico como consecuencia de la infracción precedente29.

5. INCIDENCIA DEL RGPD EN EL ÁMBITO IBEROAMERICANO

El Reglamento ha tenido una notoria influencia por su nueva visión en materia de protección de datosy porque el modelo europeo ha sido seguido, en general, por la legislación de los países del área de

28 Art. 83.5, para casos de violación de principios; ilicitud del tratamiento en relación a su “base” o fundamento y si estees el consentimiento, que no se configure como corresponde. etc.; se traten indebidamente datos sensibles; se incum-plan las normas que regulan los derechos del titular de los datos (acceso, rectificación, supresión-olvido, portabilidad,oposición,), así como las relativas a transferencias internacionales; “el incumplimiento de una resolución o de unalimitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad decontrol (…) o el no facilitar acceso en incumplimiento” de la orden por parte de esa autoridad de facilitar informaciónque requiera, entre otros.

29 Con tales otras medidas se propicia el buen orden y el cumplimiento de la normativa de protección de datos personales,como son las órdenes indicadas.


referencia. Aquí se hará una breve referencia al principio de responsabilidad.

1. Los Estándares aprobados por la Red Iberoamericana de Protección de Datos el 22-VI-2017 se ins-piraron entre otros documentos, tal como surge de su propio texto, en los aprobados en la ConferenciaInternacional de Autoridades de Privacidad y de Protección de Datos celebrada en España en 2009,(“Estándares de Madrid”), el Convenio Nº 108 del Consejo de Europa para la protección de las per-sonas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo Adicional;el Marco de Privacidad del Foro de Cooperación Económica Asia Pacífico, y el RGPD relativo a laprotección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre cir-culación de estos datos.

El art. 20 de los Estándares de la Red, denominado “Principio de responsabilidad” establece:

“1. El responsable implementará los mecanismos necesarios para acreditar el cumplimiento de losprincipios y obligaciones establecidas en los presentes Estándares, así como rendirá cuentas sobre eltratamiento de datos personales en su posesión al titular y a la autoridad de control, para lo cualpodrá valerse de estándares, mejores prácticas nacionales o internacionales, esquemas de autorre-gulación, sistemas de certificación o cualquier otro mecanismo que determine adecuado para talesfines. 2. Lo anterior, aplicará cuando los datos personales sean tratados por parte de un encargadoa nombre y por cuenta del responsable, así como al momento de realizar transferencias de datos per-sonales. 3. Entre los mecanismos que el responsable podrá adoptar para cumplir con el principio deresponsabilidad se encuentran, de manera enunciativa más no limitativa, los siguientes: a. Destinarrecursos para la instrumentación de programas y políticas de protección de datos personales. b. Im-plementar sistemas de administración de riesgos asociados al tratamiento de datos personales. c.Elaborar políticas y programas de protección de datos personales obligatorios y exigibles al interiorde la organización del responsable. d. Poner en práctica un programa de capacitación y actualizacióndel personal sobre las obligaciones en materia de protección de datos personales. e. Revisar perió-dicamente las políticas y programas de seguridad de datos personales para determinar las modifica-ciones que se requieran. f. Establecer un sistema de supervisión y vigilancia interna y/o externa,incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos per-sonales. g. Establecer procedimientos para recibir y responder dudas y quejas de los titulares. 4. Elresponsable revisará y evaluará permanentemente los mecanismos que para tal afecto adopte volun-tariamente para cumplir con el principio de responsabilidad, con el objeto de medir su nivel de efi-cacia en cuanto al cumplimiento de la legislación nacional aplicable”.Por su parte, el Capítulo VI, denominado “Medidas proactivas en el tratamiento de los datos perso-nales”, comprende, de manera no taxativa, la privacidad por diseño y por defecto; el Oficial de pro-tección de datos personales; la adhesión a mecanismos de autorregulación vinculante (así códigosdeontológicos y sistemas de certificación y sus respectivos sellos de confianza y la evaluación de im-pacto a la protección de datos personales (arts. 37 a 41).

“(…) al igual que el nuevo Reglamento europeo, los Estándares buscan la premisa de que “resulteinsuficiente ‘no incumplir’, y se exigirá la prevención de acontecimientos que pudieran conducir aellos, para evitarlos antes de que ocurran. Todo lo que se relacione con esta premisa, agrupado bajola noción de ‘gestión del riesgo’, forma parte del cambio de paradigma vigente”30.2. En el Uruguay, en materia de protección de datos rige la ley Nº 18.331 de 11-VIII-2008, cuyo art.1º reconoce que el derecho a la protección de datos personales “es inherente a la personalidad hu-mana”, “por lo que” –agrega – “está comprendido en el art. 72 de la Constitución”, disposición trans-cripta en nota 7 y que efectúa “un acogimiento expreso de la esencia humanista del jusnaturalismoliberal” que convierte a sus “elevadas finalidades (…) en principios generales de derecho positivo,de trascendencia práctica, de los que no puede prescindir la sistematización técnico jurídica. En unapalabra, en tales condiciones, ya no puede decirse que se trate de un elemento metajurídico”31.

30 BAUZÁ, Marcelo. “Los Estándares de Protección de Datos Personales para los Estados Iberoamericanos”. RevistaLa Ley Uruguay. Julio-agosto 2018, AÑO LXXIX, Tomo 156, D-93-96.

31 REAL. Alberto Ramón. “El Estado de Derecho.”, en Estado de Derecho y Humanismo personalista. Mdeo. 1974, p.


La citada ley, art. 6º inc. 2º establece que “Las bases de datos no pueden tener finalidades violatoriasde derechos humanos”; agrega que esas finalidades tampoco pueden ser “contrarias a las leyes o a lamoral pública”, concepto este último relativo a la moralidad social media que asume el ordenamientojurídico. Refiere, además, a los principios de legalidad, veracidad, finalidad, previo consentimientoinformado, seguridad de los datos, reserva y responsabilidad.

Sobre este último, el art.12 era escueto, decía: “El responsable de la base de datos es responsable dela violación de las disposiciones de la presente ley”. En el contexto del ordenamiento jurídico uru-guayo, esa responsabilidad podía y puede incidir en diversos ámbitos, básicamente administrativo,civil y penal.

La propia ley preveía y prevé disposiciones relativas tanto al responsable como al encargado de tra-tamiento; así se establece que “El órgano de control podrá aplicar (…) sanciones a los responsablesde las bases de datos o encargados del tratamiento de datos en caso de que se violen las normas dela presente ley”, art. 3532.

Con clara influencia del RGPD, la ley Nº 19.670 de 15-X-2018, vigente desde el 1º de enero de 2019,art. 38, sustituye el texto del citado art. 12, el cual ahora establece:

"(Principio de responsabilidad). El responsable de la base de datos o tratamiento y el encargado, ensu caso, serán responsables de la violación de las disposiciones de la presente ley. En ejercicio deuna responsabilidad proactiva, deberán adoptar las medidas técnicas y organizativas apropiadas:privacidad desde el diseño, privacidad por defecto, evaluación de impacto a la protección de datos,entre otras, a fin de garantizar un tratamiento adecuado de los datos personales y demostrar su efec-tiva implementación. La reglamentación determinará las medidas que correspondan según los tiposde datos, tratamientos y responsables, así como la oportunidad para su revisión y actualización”,

También se introduce la figura del Delegado de protección de datos, art. 40, preceptivamente para las“entidades públicas, estatales o no estatales, las privadas total o parcialmente de propiedad estatal,así como las entidades privadas que traten datos sensibles como negocio principal y las que realicenel tratamiento de grandes volúmenes de datos (...)”.

Añade que “Sus funciones principales serán: A) Asesorar en la formulación, diseño y aplicación depolíticas de protección de datos personales. B) Supervisar el cumplimiento de la normativa sobredicha protección en su entidad. C) Proponer todas las medidas que entienda pertinentes para ade-cuarse a la normativa y a los estándares internacionales en materia de protección de datos personales.D) Actuar como nexo entre su entidad y la Unidad Reguladora y de Control de Datos Personales. Eldelegado deberá poseer las condiciones necesarias para el correcto desempeño de sus funciones yactuará con autonomía técnica”. Asimismo complementa las normas referentes al principio de seguridad, específicamente para la si-tuación de vulneración. Esto estaba previsto por la reglamentación de la ley33; ahora se regula direc-tamente por norma de mayor valor y fuerza, la citada ley Nº 19.670, cuyo art. 37 dispone: “Cuandoel responsable o encargado de una base de datos o de tratamiento, tome conocimiento de la ocurrenciade la vulneración de seguridad, deberá informar inmediata y pormenorizadamente de ello y de lasmedidas que adopte, a los titulares de los datos y a la Unidad Reguladora y de Control de Datos Per-sonales, la que coordinará el curso de acción que corresponda, con el Centro Nacional de Respuestaa Incidentes de Seguridad Informática del Uruguay (CERTuy). La reglamentación determinará elcontenido de la información correspondiente a la vulneración de seguridad”. A la fecha aún no sedictado la reglamentación a que remite las normas legales citadas.

126.

32 Esas sanciones son: observación, apercibimiento, multas, suspensión de la base de datos hasta por 5 días, que aplicaen vía administrativa la Unidad Reguladora y de Control de Datos Personales.. La clausura de la base requiere decisiónjudicial.

33 Decreto Nº 414/009 de 31-VIII-2009, art. 8, con el deber del responsable o encargado de la base de datos de informara los interesados en el supuesto “de la ocurrencia de vulneraciones de seguridad en cualquier fase del tratamiento”,“susceptibles de afectar de modo significativo los derechos” de aquellos.


6. ANOTACIONES FINALES

1. El RGPD “se proyecta hacia una nueva cultura de protección de datos” y “plantea precisión deroles, obligaciones y derechos; oportunidad de cumplimiento de principios y normas y supone ventajascomparativas, base de la competitividad, en relación directa con la innovación de los datos que per-mite”34.Atiende “a nuevas circunstancias, principalmente el aumento de los flujos transfronterizos de datospersonales como consecuencia del funcionamiento del mercado interior, los retos planteados por larápida evolución tecnológica y la globalización, que ha hecho que los datos personales sean el recursofundamental de la sociedad de la información. El carácter central de la información personal tieneaspectos positivos, porque permite nuevos y mejores servicios, productos o hallazgos científicos. Perotiene también riesgos, pues las informaciones sobre los individuos se multiplican exponencialmente,son más accesibles, por más actores, y cada vez son más fáciles de procesar mientras que es másdifícil el control de su destino y uso” (términos del Preámbulo III de la Ley Orgánica española 3/2018,de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).

2. El RGPD prevé la responsabilidad proactiva de manera de asegurar el respeto efectivo de los de-rechos y el debido cumplimiento de las obligaciones, con medios que permitan acreditarlo.Ella se da, por otra parte, en lugar de “cargas” burocráticas, lo que contribuye a una buena gestiónpor parte de los diversos actores, responsables y encargados públicos y privados y, asimismo, de lasautoridades de control.

Tal perspectiva se inscribe, por cierto, en la interrelación del principio de responsabilidad con todoslos otros principios los cuales aparecen reformulados, reforzados o, en su caso, desarrollados, talcomo sucede, por ejemplo, con el principio de transparencia35.

No se trata, pues, de retoques o meros ajustes sino una visión de gobernanza en materia de protecciónde datos personales basada en una gestión de calidad, la cual corresponde seguir como una políticapública que asegure el respeto del correspondiente derecho fundamental, inherente a la personalidadhumana. Conduce, también, a una ética que determina asumir plenamente “lo que se debe” en el tra-tamiento de los datos personales.

34 ROTONDO, Felipe. “Anotaciones sobre el Reglamento Europeo de Protección de Datos”, en CADE Doctrina &Ju-risprudencia T. XLVIII Mdeo, octubre 2018, pp.41 y ss.

35 Sobre este principio, véase los “Considerandos” 39 y 58 del RGPD.. También lo que prevé su art. 5.1 “a”: “a) Losdatos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado (‘licitud, lealtady transparencia’)”.


BIBLIOGRAFÍA

BAUZÁ, Marcelo. “Los Estándares de Protección de Datos Personales para los Estados Iberoamericanos”.•Revista La Ley Uruguay. Tomo 156 Montevideo 2018.

BIDART CAMPOS, Germán J. “Teoría General de los Derechos Humanos”. Instituto de Investigaciones•Jurídicas. UNAM México 1989.

DELPIAZZO, Carlos E. y ROTONDO, Felipe. “El Derecho a la Protección de los Datos Personales”, en•Cap. I Informática y Derecho. Manual de Derecho Informático e Informática Jurídica. Tomo II. Fundaciónde Cultura Universitaria Montevideo 2018.

GROS ESPIELL, Héctor, “La dignidad humana en los instrumentos internacionales sobre Derechos Hu-•manos”, Anuario de Derechos Humanos. Nueva época Vol. 4, Instituto de Derechos Humanos. Facultadde Derecho. Universidad Complutense. Madrid 2003.

POLAINA LORENTE. Aquilino “Actualidad de la voluntad del sentido”, Revista. Berit Internacional Año•VI Nº 9. Santiago de Chile 2008.

REAL. Alberto Ramón. “El Estado de Derecho.”, en Estado de Derecho y Humanismo personalista. Fun-•dación de Cultura Universitaria. Montevideo 1974.

REMOLINA ANGARITA, Nelson. Tratamiento de Datos Personales. Aproximación Internacional y co-•mentarios a la Ley 1581 de 2012, Legis Ed. S.A. Colombia 2013.

ROTONDO, Felipe. “Anotaciones sobre el Reglamento Europeo de Protección de Datos”, en CADE Doc-•trina & Jurisprudencia Tomo. XLVIII Montevideo 2018.

SOTO KLOSS, Eduardo. “Derecho Administrativo” Tomo II, Ed. Jurídica de Chile, Santiago de Chile,•1996.

TASTI, Silvia Ana. “Presentación” en Responsabilidad de los funcionarios públicos, .Carlos Ghersi y otros.•Breviarios. Hammurabi Nº 1. Buenos. Aires. 1987.


REPUTACIÓN ON LINE

¿LA IDENTIDAD DIGITAL ES TAN IMPORTANTE COMO LA REAL?

ONLINE REPUTATION

IS DIGITAL IDENTITY AS IMPORTANT AS REAL?

RIGHT TO HONOR OR FREEDOM OF EXPRESSION?

Pablo Schiavi1

1 Doctor en Derecho y Ciencias Sociales por la Facultad de Derecho de la Universidad de la República Oriental delUruguay. Miembro del Instituto de Derecho Administrativo y del Instituto de Derecho Constitucional en la Facultadde Derecho de la Universidad de la República. Miembro Titular de la Asociación Derecho Público del Mercosur. Ase-sor-director en la Oficina de Planeamiento y Presupuesto (OPP), Presidencia de la República. Consultor nacional e

internacional.




ISSN 2530-4496 – AÑO 1, N° 6, 2019, PÁGS. 153-165

RESUMEN:

La viralización masiva de información y de contenidos que se nutre de datos personales de todo tipose ha potenciado sin límites en el día de hoy con la existencia de los llamados “buscadores” o “motoresde búsqueda” en internet, como por ejemplo “Google” en el cual simplemente alcanza con escribirel nombre de una persona o el nombre de una empresa y se dispara en un menos de un segundo unaenorme cantidad de noticias y de imágenes relacionadas, en una especie de biografía digital pública,de fácil acceso, al alcance de todos y sin ninguna restricción.

La reputación on line de las personas y de las empresas pasa, hoy en día, a ocupar un lugar central ala hora por ejemplo conseguir de obtener y/o perder un empleo; a la hora de obtener y/o perder unnuevo cliente respectivamente.

A este tema dedicaremos el presente trabajo.

ABSTRACT:

The massive viralization of information and content that is nourished by personal data of all kinds hasbeen boosted without limits in the present day with the existence of the so-called "search engines" or"search engines" on the Internet, such as "Google "In which simply it is enough to write the name ofa person or the name of a company and a huge quantity of news and related images is triggered in lessthan a second, in a kind of public digital biography, easily accessible, within everyone's reach andwithout any restriction. The online reputation of people and companies nowadays occupy a centralplace at the moment, for example, to obtain and / or lose a job; at the time of obtaining and / or losinga new client respectively.

We will dedicate this work to this topic

PALABRAS CLAVES:

Reputación On Line. Identidad digital. Derecho al honor. Dignidad de la personas. Libertad de expre-sión.

KEYWORDS:

Online Reputation. Digital identity. Right to honor Dignity of the people. Freedom of expression.

1. “VIRALIZACION” MASIVA DE INFORMACION Y DE CONTENIDOS: “GOOGLE TUNOMBRE”.Hace un par de años – no muchos- para encontrar una noticia relacionada a un hecho de cualquiertipo, a una situación determinada, a cualquier persona y/o a cualquier empresa -siempre y cuando lanoticia se hubiese publicado en algún medio de prensa escrito- teníamos que ir al “histórico” de Dia-rios y Revistas de la Biblioteca Nacional o en su defecto, averiguar en qué día de la semana se habíapublicado la noticia en la versión impresa de un periódico para ir a comprar ese ejemplar a su sedecentral donde muy amablemente un empleado nos preguntaba cual era el día en que se había publicadoel diario para poder acceder a él2.

Nadie en ese momento se imaginaba que hoy iba a existir “Google” ni ningún otro de los tantos bus-cadores de Internet.

Hoy todo cambió.

Para siempre.

2 SCHIAVI, P. (2017). – «El derecho al olvido y a la protección de datos personales en Uruguay» en Revista de Derechode la Universidad de Montevideo - Número 31- Año 2017; pp. 55 y ss.

REPUTACIÓN ON LINE ¿LA IDENTIDAD DIGITAL ES TAN IMPORTANTE COMO LA REAL?

La viralización masiva de información y de contenidos que se nutre de datos personales de todo tipose ha potenciado sin límites en el día de hoy con la existencia de los llamados “buscadores” o “motoresde búsqueda” en internet, como por ejemplo “Google” en el cual simplemente alcanza con escribirel nombre de una persona o el nombre de una empresa y se dispara en un menos de un segundo unaenorme cantidad de noticias y de imágenes relacionadas, en una especie de biografía digital pública,de fácil acceso, al alcance de todos y sin ninguna restricción3.

Hoy en día, toda la información referida a personas, empresas, historial y todo los que se nos puedaocurrir está al alcance de todos de “manera permanente” de forma gratuita y disponible las 24 horasdel día los 365 días del año.

De ahí que se ha impuesto la práctica llamada “google tu nombre” y los invito a hacerlo para ver todainformación que hoy en día está al alcance de cualquiera en internet4.

Todo lo cual tiene un altísimo impacto en nuestra vida, ya sea privada - en el entendido de que todavíahoy podamos seguir hablando de vida privada - , en nuestra vida profesional y en nuestra vida “digital”,la cual se alimenta en forma permanente con la carga masiva e indiscriminada de contenidos – fotos,imágenes, videos, audios- y todo lo que a diario publicamos en internet y en las redes sociales.

El mundo de las relaciones laborales no está ajeno a esta situación y especialmente en lo relacionadoa la búsqueda de empleos, hoy en día puede afirmarse que ninguna empresa selecciona y/o contratapersonal sin realizar previamente un “perfil público” del candidato con toda la información que rela-cionada a él se encuentre en internet y en las redes sociales5.

Ejemplos en tal sentido abundan.

En el día de su graduación una joven de 18 años decidió tomarse una foto en bikini, con un copón decerveza en la mano derecha y un sombrero de corte mexicano6.

La foto ilustró su perfil de Facebook durante un tiempo. Transcurridos dos años del evento la jovenaplicó para un importante puesto de trabajo "senior" en una consultora internacional7.

El Departamento de Recursos Humanos aprobó su ingreso a la compañía pero uno de los directoresdecidió “googlearla”: ese fue su final.

La imagen juvenil de graduación revivió entre los muertos, vía Google y la entusiasta novata quedóafuera del puesto de trabajo en segundos. Nadie quería una chica "entonada" como consejera de in-versores locales8.

Este hecho no es un cuento, sino que ilustra un caso similar de la jurisprudencia americana que se re-plica en la realidad y pone sobre la mesa de debate, una vez más, el derecho al olvido digital9.

2. CONCEPTO Y ALCANCES DEL DERECHO AL OLVIDO.

Es, en este mundo hiperconectado e hiperinformado – lo que no significa necesariamente “bien infor-

3 SCHIAVI, P. (2017). – «El derecho al olvido (…) » loc. cit., pp. 55 y ss.



6 TOMEO, F. (2012). – «El derecho al olvido en la Web pasó al olvido» en http://www.lanacion.com.ar/1531755-el-derecho-al-olvido-en-la-web-paso-al-olvido.




Pablo Schiavi

mado”-, donde surge la necesidad y donde se encuentra el fundamento del llamado derecho al ol-vido10.

Cuando hablamos de derecho al olvido nos referimos al derecho de toda persona a que determinadainformación personal que la hace identificable (datos personales, datos sensibles, datos laborales,datos financieros datos de salud, entre otros) no permanezca en forma permanente y de manera in-definida en internet las 24 horas del día y los 365 días del año; información a la cual se accede fá-cilmente y sin ninguna restricción ni límites territoriales a través de buscadores o motores de búsquedaen plataformas digitales, sin mediar consentimiento ni notificación alguna al titular de los datos11.

A tales efectos entendemos que podría configurarse el derecho al olvido cuando se trata de informa-ciones que lucen en uno o en varios sitios web o en bases de datos que refieren a datos personales ose relacionan con situaciones personales referidas a hechos reales de la vida de una persona, no nece-sariamente positivos, que por distintos motivos tomaron estado público y que fueron recogidos enportales por medios de comunicación o en cualquier otra plataforma digital, con la nota esencial deque perduran de manera indefinida en el tiempo en internet, incluso una vez agotada la situación quedio origen a la noticia12.

Google no nos avisa quién nos buscó en la red, quien “googleo” nuestro nombre y tampoco nos pidiópermiso para facilitarle toda la información relacionada a nosotros a un tercero.

El derecho al olvido no implicaría en los hechos “borrar esa información” ni “tapar o ocultar esa in-formación” sino que supone el derecho de la persona a no permanecer expuesta o vinculada de porvida a estos hechos en las redes sociales e internet, como si fuera una extensión, en el mundo de lasredes sociales, de la pena sufrida – en caso de delitos a modo de ejemplo -ante los tribunales compe-tentes de un determinado país.

En Latinoamérica hay varios ejemplos en tal sentido, algunos con soluciones favorables a lo solicitadoen relación al derecho al olvido y otros no13.

En Uruguay, si bien el derecho al olvido carece de una regulación propia y específica, podría consi-derarse comprendido en el régimen general de protección de datos personales consagrado en la LeyNº 18.331 de 11 de agosto de 2008, modificativas y decretos reglamentarios14.

Es un derecho nuevo, poco desarrollado y no recogido aún en forma específica en la legislación uru-guaya15.

El universo de las nuevas tecnologías y de las redes sociales en particular es fuente de lo que algunosconsideran un nuevo derecho que no figura expresamente en ninguna legislación: el derecho al ol-vido16.

Es un paso más en la reciente regulación del derecho a la protección de datos personales17.

La Ley consagra los derechos de los titulares de los datos, entre ellos, el derecho de toda persona parasolicitar la rectificación, actualización, inclusión o supresión de datos personales que le corresponda

10 SCHIAVI, P. (2018). – «El derecho al olvido en tiempos de “Google”. Primeras aproximaciones a su regulacion enUruguay». Estudios de Derecho Administrativo, (17), 237-255.

11 SCHIAVI, P. (2017). – «El derecho al olvido (…) » Ob. Cit.; loc. cit., pp. 55 y ss.

12 SCHIAVI, P. (2018). – «El derecho al olvido en tiempos de “Google” (…)» Ob. Cit.; loc. cit., pp. 237 y ss.




16 TOMEO, F. (2012). – «El derecho al olvido en la Web pasó al olvido» en http://www.lanacion.com.ar/1531755-el-de-recho-al-olvido-en-la-web-paso-al-olvido.



incluidos en una base de datos, al constatarse error o falsedad o exclusión en la información de la quees titular.

Y ahí se ubica el gran problema en torno al derecho al olvido, teniendo presente el indiscutible pesoque tienen hoy las redes sociales y el internet, que nos permite hablar, sin lugar a dudas, de una doblecondena en aquellos casos en los cuales determinada persona por ejemplo haya sido procesada por laJusticia competente y además el hecho o la situación que generó tal procesamiento tomó estado públicoy por ende fue publicada en un portal web y permanece en forma indefinida en internet y en las redes18.

La nota de perjudicialidad es la clave para valorar si corresponde o no eliminar las referencias a hechos,situaciones o imágenes que hagan identificables a una persona y que surgen libremente de cualquierbuscador en internet.

Felipe ROTONDO señala que el derecho al olvido no es absoluto y que para hacerlo efectivo se debenconsiderar elementos, como la naturaleza de la información, el interés público, la manera de accedera los datos y la incidencia de su difusión en el titular: “Priorizar un derecho no es hacerlo absolutosino ver la situación en el caso concreto”. Planteó que en Uruguay el derecho al olvido es una proyec-ción de los derechos de supresión y oposición de los datos y se aprecia en cada caso una visión de de-rechos humanos”, enfatizó19.

3. DERECHO AL OLVIDO Y REPUTACION ON LINE.

Derecho al olvido que está estrechamente vinculado a la llamada “Reputación Online” que se nutrede todo lo que se dice o dicen de nosotros en las redes sociales y en internet, más allá de que las con-notaciones o valoraciones que se hagan sean positivas o negativas.En este todo este contexto, por momentos indescifrable, por momentos impredecible, se ubica unnuevo concepto, impensado hace muy poco tiempo, que se ha dado en llamar “Reputación On Line”.

Hoy en día, cualquier establecimiento comercial, empresa, profesional o directivo está expuesto a lacrítica de cualquier usuario o consumidor, incluso si no ha sido cliente. El uso permanente de Interneten muchas facetas de la vida del usuario, le ha llevado a consultar al buscador muchos aspectos de lavida cotidiana20.

Nos preguntamos: ¿qué podemos hacer ante todo esto? ¿Qué pueden hacer los titulares de los datospersonales, o sea nosotros, ante esta manipulación y accesibilidad irrestricta a información que con-cierne a cada uno?21

Todo lo cual se relaciona estrechamente con las nuevas dimensiones de los conceptos de “intimidad”y de “privacidad”, aunque difícilmente podamos hablar hoy en día, de algo “privado” o de algo “in-timo” cuando día a día y minuto a minuto, millones de personas en todo el mundo publican y carganmillones de contenidos en las distintas redes sociales de todo o prácticamente todo lo que hacen en suvida personal o profesional22.

El crecimiento exponencial del comercio electrónico ha hecho que los consumidores hayan creadouna gran cantidad de información que es fruto de su experiencia de compra. Estas experiencias influ-yen, indudablemente, en otros consumidores23.


19 http://www.lja.mx/2016/08/derecho-al-olvido-absoluto-necesario-ponderar-otros-derechos/

20 SAURA, J.R; PALOS-SÁNCHEZ, P; DEBASA, F. (2017). – «El problema de la reputación online y motores debúsqueda: Derecho al Olvido» enhttps://www.researchgate.net/publication/322910471_El_problema_de_la_reputacion_online_y_motres_de_busqueda_Derecho_al_Olvido.



23 SAURA, J.R; PALOS-SÁNCHEZ, P; DEBASA, F. (2017). – «El problema de la reputación online y motores de

Pablo Schiavi

Internet ha conseguido que el mundo sea la llamada aldea global, en la que todos conocemos la vidade todos gracias a Internet. La vida en la red Internet se construye de nuestras referencias en redes so-ciales y cualquier web, bien posicionada en el buscador, que haga referencia a la misma. A veces, demanera imprudente y en otras, con la impunidad de quién sabe que este es un fenómeno aún no muyperseguido por la Ley, se divulga una información privada con cualquier intencionalidad24.

Esto resulta, potencialmente, peligroso para nuestra vida profesional o personal.

Estos ataques a la reputación online se han multiplicado de manera exponencial en los momentos decrispación política que ha ocasionado la crisis económica.

4. REPUTACIÓN “ON LINE” PERSONAL.

Fernando TOMEO definió a la reputación como el concepto que la gente tiene de uno mismo, lo quelos otros dicen de nosotros, o de una determinada empresa, y que se construye con hechos concretos.A pesar de no estar contemplada en el Código Civil, la reputación, como derecho personalísimo, estáfuertemente vinculada con el derecho al honor2526.

En principio, la reputación en Internet está definida por lo que muestra el resultado de la búsqueda enGoogle de una persona o empresa determinada27.

Una vez que se sube información en la web, el derecho a la privacidad deja de existir conjuntamentecon el derecho al olvido.

TOMEO resalta que en este tipo de casos existe una coalición entre el derecho al honor y el derechoa la libertad de expresión. Este último, consagrado en el artículo 14 de la Constitución Nacional, esinalienable y debe ser ejercido con ciertos límites, de forma regular, no abusiva, y asumiendo las po-sibles consecuencias, tal como lo estableció la Corte Suprema en el fallo Ponzetti de Balbín28.

Con lo cual puede afirmarse que estamos ante una nueva dimensión de la libertad de expresión y desus alcances.

En el caso particular de Google, existen varias demandas realizadas debido a la violación del derechoal honor y a situaciones de difamación, donde lo que se plantea es si esta empresa intermediaria puedeser responsable por los contenidos publicados por terceros29.

A su vez, la otra cara del derecho al honor es el derecho a la imagen, consagrado en el artículo 31 dela ley de propiedad intelectual, que establece la necesidad del consentimiento expreso de la personapara utilizar su imagen salvo que se trate de un hecho de interés público, sin confundir con los hechossucedidos en lugares públicos, Otra excepción es cuando se trata de un hecho de interés científico.Por otro lado, resaltó la importancia de ser prudente con el uso de la imagen de las demás personas30.

5. REPUTACIÓN “ON LINE” CORPORATIVA.

En la actualidad, la gran mayoría de las empresas corporativas – cualquiera sea su rubro- cuentan consu propio portal Web – público por naturaleza- donde publican a que se dedican, cuál es su misión y

búsqueda: Derecho al Olvido»

24 SAURA, J.R; PALOS-SÁNCHEZ, P; DEBASA, F. (2017). – «El problema de la reputación online y motores debúsqueda: Derecho al Olvido»...

25 TOMEO, F. (2013). La reputación en la web y el cleaning digital. Derecho al Día, Año XII - Edición 217;http://www.derecho.uba.ar/derechoaldia/notas/la-reputacion-en-la-web-y-el-cleaning-digital/+4925.

26 TOMEO, F. (2013). La reputación en la web y el cleaning digital. Derecho al Día,...






visión, cuál es su giro comercial, cuál es el staff de profesionales que tienen, cuál es su cartera declientes, distintos tipos de eventos, entre otros.

No tienen otra opción.

A tal punto que podemos afirmar que ninguna empresa corporativa puede estar ausente en Internet,ya que de lo contrario “no existe”.En esa línea, medios de comunicación, bancos, universidades, seguros de salud, automotoras, entremiles, y también los propios portales de organismos públicos están “vivos” en Internet y alimentanpermanentemente sus contenidos.

En una primera etapa, con el portal web alcanzaba.

Hoy, además del portal web, las empresas corporativas han empezado a incursionar en las redes so-ciales, y son administradoras de perfiles en Facebook, en Twitter, en Instagram, entre otras31.

Por todo esto hablamos de reputación online corporativa, como el concepto que nuestros clientes ousuarios tienen de nuestra empresa, de la calidad de los servicios que presta, de la calidad de la atenciónde su personal, y en definitiva del índice de satisfacción del cliente en general.

Todo lo cual, hoy en día, tiene una enorme importancia en la propia reputación o prestigio de la em-presa así como en el propio éxito o fracaso de emprendimientos se lleven a cabo, teniendo presenteque ante determinados incidentes, han tenido que “dar la cara” en internet, publicando comunicadosen su propia red de Twitter.

En cuanto a la reputación corporativa, las redes sociales tienen un gran poder de influencia.32

TOMEO señala que existen tres mecanismos para limpiar el contenido de la mala reputación en In-ternet33.

El primero, es un mecanismo técnico que las propias redes facilitan que consisten en formularios te-diosos, por lo que el sistema es ineficiente34.

Otro mecanismo para el “cleaning” es el judicial integrado por medidas precautorias, a nivel local, ymedidas autosatisfactorias, a nivel provincial, que consisten en un pedido por parte del afectado anteel juez con el objetivo de que el buscador deje de vincular el contenido denigrante a su persona35.

Por último, existe el mecanismo de reposicionamiento de contenido que busca crear una nueva repu-tación positiva de modo que la mala reputación quede en segundo plano.36

Por tal razón y en esta línea TOMEO ha enfatizado que tenemos que ser prudentes con el uso de laimagen de los demás. El derecho a la libertad de expresión debe tener un límite, debe ser ejercido deforma regular y no abusiva37.

Aquí un claro ejemplo de crisis de reputación online corporativa.

Air Europa, una de las tres compañías de transporte aéreo más importantes de España, en 2013 viocómo un incidente con uno de sus clientes saltó a las plataformas online creando una fuerte crisis dereputación que no supieron abordar de manera eficiente38.

31 En este punto las empresas deberían ser especialmente cuidadosas y tener bien presentes las Políticas de Datos y dePrivacidad de las redes sociales mencionadas, documentos que por lo general y llamativamente nadie lee ni revisacon las consecuencias que ello puede traer aparejado ante un mal uso o incidente relacionado con la red social que setrate.







38 Ver: http://blogs.icemd.com/blog-gestion-de-crisis-de-reputacion-online-llevada-a-la-practica/air-europa-y-

Pablo Schiavi

Todo comenzó cuando el personal de la aerolínea denegó a Mara Zabala, de 33 años, el acceso a suvuelo alegando que, según la política de Air Europa, una persona en silla de ruedas no puede viajar enavión si no dispone de un acompañante que pueda asistirla en caso de emergencia, algo que no ocurrecon otras compañías39.

Tras su infructuoso intento de embarque Mara decidió publicar un tweet que, apoyándose en hashtagscomo #discriminación, #discapacidad y #denuncia notificaba lo sucedido y pedía el apoyo de la co-munidad en forma de RT con el fin de ampliar la divulgación de su mensaje.

Toda una bomba en términos de crisis de reputación online que por supuesto no tardó en estallar.

La respuesta de Air Europa, aunque se efectuó rápidamente y a través de Twitter, fue sumamentecorporativa y no contaba con el tono ni con el contenido apropiado para extinguir el incendio que sehabía producido. Transcribir el reglamento que tantas críticas estaba suscitando no les proporcionóun escudo, sino una diana a la que los internautas apuntaron todos y cada uno de sus dardos.

La repercusión de la historia fue tal que se extendió al ámbito político, llegando al Congreso por pe-tición del Partido Popular -también reclamó una reunión con los responsables de Air Europa que noobtuvo respuesta- y a la Comisión Europea que se remitió a un informe de 2011 en el que advertíaque algunos operadores aéreos confundían los requisitos de seguridad en los vuelos del reglamentode obligado cumplimiento de 2006 con aspectos relacionados con la comodidad.

Dicho informe exponía que algunas aerolíneas ponían como requisito indispensable el que la personaen silla de ruedas contase con un acompañante con el fin de beneficiarse de la compra de un segundobillete, una acusación muy en la línea del discurso de Pilar Villarino, Directora Ejecutiva del ComitéEspañol de Representantes de Personas con Discapacidad, organización a la que Zabala presentó sucaso, que declaró que las razones de seguridad eran “argumentos absurdos” para llevar a cabouna “discriminación clara”

6. PERJUDICIALIDAD E INCIDENCIA EN LA VIDA PRIVADA, PROFESIONAL Y COR-PORATIVA.

La identidad caracteriza a una persona.

En el universo de carne y hueso nos definimos en base a hechos, a nuestros atributos personales, nues-tro carácter, nuestra forma de ser, lo que los demás perciben de nosotros, lo que damos a entender, loque fluye. Las palabras, se las lleva el viento40.

Pero las tecnologías de la información han generado un nuevo concepto de identidad: la digital.Y como vimos, esto aplica tanto para las empresas como para las corporaciones.

El perfil de la "persona virtual" se define en la red y se nutre de los contenidos que la misma propor-ciona respecto de un determinado individuo o compañía: la web otorga contenido, identifica e indivi-dualiza a la persona de una u otra manera41.

Y no se trata de una moda pasajera. La identidad digital es tan importante como la real: una comple-menta otra42.

la-tecnica-del-avestruz-en-gestion-de-crisis/

39 Ver: http://blogs.icemd.com/blog-gestion-de-crisis-de-reputacion-online-llevada-a-la-practica/air-europa-y-la-tecnica-del-avestruz-en-gestion-de-crisis/

40 TOMEO, F. (2013). – «La identidad digital es tan importante como la real» en http://www.lanacion.com.ar/1579733-la-identidad-digital-es-tan-importante-como-la-real.

41 TOMEO, F. (2013). – «La identidad digital es tan importante como la real» enhttp://www.lanacion.com.ar/1579733-la-identidad-digital-es-tan-importante-como-la-real.

42 TOMEO, F. (2013). – «La identidad digital es tan importante como la real» en


Juega un papel esencial al momento de elegir un candidato para una corporación, la "cita del sábadoa la noche" o el perfil del cliente que vamos a enfrentar en la reunión del lunes43.

Y el buscador de Internet participa del partido.

Google define identidad, es el medio o el vehículo para la definición. No solo busca, sino más biennutre de resultados, de contenidos que conforman la identidad digital de cualquier mortal: "Si no pasásla prueba del previo googleo no existís", refieren las consultoras de recursos humanos44.

Y la gran cuestión que se plantea refiere cuando se suscitan problemas o inconvenientes relacionadosa la identidad digital, que hoy en día, no puede separarse o tratarse en forma diferenciada de la iden-tidad real.

Creemos que necesariamente habría que contemplar en forma específica el derecho al olvido en nuestralegislación incorporando la nota de perjudicialidad a la que refiere el Derecho Europeo.

Debemos explorar los conceptos de perjudicialidad y de incidencia de la información para su titular alos efectos de valorar si corresponde o no acceder a una solicitud de eliminación de determinada in-formación que es pública en internet y en las redes sociales.

Perjudicialidad e incidencia de la información para su titular en su vida privada y/o profesional sonelementos claves que deberán evaluarse al momento de pronunciarse sobre una solicitud en tal sen-tido.

Y conceptos que plantean más inconvenientes aún cuando se trata de personas públicas que han ejer-cido cargos de gobierno. Entendemos que en este caso no cabría derecho al olvido si se trata de hechosrelacionados al ejercicio de la función pública – lo cual sólo tendría aplicación en el caso de hechosrelacionados a su vida privada-.

En este caso primaría la naturaleza pública de la información, que no tendría fuente en hechos rela-cionados con la vida privada del funcionario público en este caso.

Y pienso por ejemplo en el procesamiento de funcionarios públicos por hechos de corrupción o des-tituciones por mala gestión.

En estos casos, primaría el carácter público de la información que a su vez está vinculada estrecha-mente a una persona pública, con lo cual no procedería el llamado “derecho al olvido”.

7. EJERCICIO ABUSIVO DE LA LIBERTAD DE EXPRESIÓN: DIFAMACION E INJURIASON LINE.

No tenemos dudas de que las difamaciones e injurias cometidas a través de redes sociales e internet,constituyen un claro ejemplo de ejercicio abusivo del ejercicio de la libertad de expresión.

En el año 2014, la Audiencia Provincial de Madrid condeno a un usuario de Twitter al pago de una in-demnizacion de 1000 euros y una multa de 100 euros por las injurias propiciadas a una periodista queparticipaba como panelista de un realitiy show45.

En particular, el caso puntual pone sobre la mesa de debate la relacion existente entre dos derechosfundamentales de la persona: el honor y la libertad de expresion46.

Para proteger el honor de una persona nuestro Codigo Penal distingue dos figuras criminales. La ca-

http://www.lanacion.com.ar/1579733-la-identidad-digital-es-tan-importante-como-la-real.



45 TOMEO, F. (2018). Calumnias e injurias on line. Diario Suplemento Derecho y Tecnologías, Nro. 46.46 TOMEO, F. (2018). Calumnias e injurias on line. Diario Suplemento Derecho y Tecnologías, Nro. 46....

Pablo Schiavi

lumnia, por un lado, que consiste en imputar falsamente a otro la comision de un delito y la injuria,por otro lado, que consiste en deshonrar o desacreditar intencionalmente a otro. Ambos delitos, pre-vistos en los articulos 109 y 110 del referido codigo, pueden cometerse a traves de cualquier plataformadigital como Twitter, Facebook o Instagram y/o via una aplicacion de mensajeria instantanea comoWhatsapp o Telegram: el medio informatico utilizado por el autor de la afrenta no lo libera de su res-ponsabilidad y de su obligacion de reparar el dano causado al honor y a la integridad psicologica,maxime cuando la ofensa alcanza efecto domino via red social47.

No existe diferencia tecnica entonces entre deshonrar a alguien mediante un insulto en la calle, me-diante un posteo en Facebook o utilizando los 280 caracteres de Twitter: el medio es irrelevante paraque se configure el delito. Desde lo legal y en relacion a Twitter, vehiculo utilizado para proferir laofensa en el caso que comentamos, un tweet puede considerarse una manifestacion de la persona, unadeclaracion, la expresion de una idea o una exteriorizacion de voluntad, obligando a su autor civil ypenalmente48.

Sin perjuicio de ello, ambas figuras delictivas, deben ponderarse en forma adecuada y razonable a laluz del derecho a la libertad de expresion, garantia primordial para el mantenimiento del sistema de-mocratico y republicano de gobierno. Este derecho fundamental ha sido consagrado por el articulo 14de la Constitucion Nacional cuando expresa que todos los habitantes de la Nacion gozan del derechode publicar sus ideas por la prensa, sin censura previa y por el art. 32 que impone al Congreso Federalla obligacion de no dictar leyes que restrinjan la libertad de imprenta. En forma complementaria, laley 26.032 establece que la busqueda, recepcion y difusion de informacion e ideas de toda indole, atraves del servicio de Internet, se considera comprendido dentro de la garantia constitucional que am-para la libertad de expresion49.

Sin libertad de expresion no hay flujo de ideas y no existe Estado de Derecho. Empero, como tododerecho, debe ejercerse en forma razonable, regular y no abusiva ya que la ley no ampara el ejercicioabusivo de los derechos, considerandose tal, al que contrarie los fines que aquella tuvo en mira al re-conocerlos o al que exceda los limites impuestos por la buena fe, la moral y las buenas costumbres.En este sentido ha sostenido nuestra mas alto Tribunal que el ejercicio del derecho de expresion deideas u opiniones no puede extenderse en detrimento de la necesaria armonia con los restantes derechosconstitucionales, entre los que se encuentran el de la integridad moral, el honor y la intimidad de laspersonas.50

La cuestion planteada supone entonces una adecuada y armonica valoracion de ambos derechos porparte de la justicia en cada caso puntual, debiendo evitarse, por una lado, penalizar la expresion y ge-nerar sobre quien quiere expresarse un efecto de autocensura como asi tambien, por otro lado, brindaruna adecuada proteccion a la reputacion personal. La tarea no es facil, maxime en el escenario de lanueva sociedad de la informacion, pero absolutamente posible51.

8. REFLEXIONES FINALES.

La reputación siempre fue importante.

Reputación que hace al honor y la dignidad de una persona, tanto en su ámbito familiar como en suámbito profesional.

Hoy asistimos a una nueva dimensión de la reputación de las personas y de las empresas: la reputaciónonline personal y la reputación online corporativa.

47 TOMEO, F. (2018). Calumnias e injurias on line. Diario Suplemento Derecho y Tecnologías, Nro. 46....48 TOMEO, F. (2018). Calumnias e injurias on line. Diario Suplemento Derecho y Tecnologías, Nro. 46....49 TOMEO, F. (2018). Calumnias e injurias on line. Diario Suplemento Derecho y Tecnologías, Nro. 46....50 TOMEO, F. (2018). Calumnias e injurias on line. Diario Suplemento Derecho y Tecnologías, Nro 46....51 TOMEO, F. (2018). Calumnias e injurias on line. Diario Suplemento Derecho y Tecnologías, Nro 46.


Ambas son igualmente importantes y tienen efectos trascendentes en los distintos aspectos de la vidade cada uno de nosotros y en la existencia o caída de empresas por incidentes negativos relacionadosa una mala reputación.

Reputación tanto personal como corporativa que está íntimamente relacionada con el llamado “derechoal olvido”.

Los primeros desarrollos doctrinarios y jurisprudenciales sobre el “derecho al olvido” se encuadranen los permanentes desafíos que la actual era digital -con una sociedad hiperconectada e hiperinfor-mada- le impone al Derecho.

Un nuevo Derecho deber regular estos nuevos fenómenos que exigen nuevas soluciones, lejos de re-gulaciones perimidas y de épocas pasadas, y que no esperan los trámites y las discusiones parlamen-tarias de antaño.

El “derecho al olvido” deber ser analizado en el contexto de la proliferación y viralización de infor-mación y datos personales en internet y en las redes sociales que han significado una verdadera re-volución que cambió la vida de las personas para siempre.

La incorporación del derecho al olvido en nuestra legislación se impone, con especial énfasis en cri-terios de valoración y ponderación tales como la nota de perjudicialidad y la incidencia de la infor-mación para su titular, de modo de evitar, cuando corresponda una “doble” condena para una personao para una empresa, la de la Justicia de su país en caso de haber sido sometido a un proceso judicialy la permanente, libre, e irrestricta de internet y de las redes sociales.

No vale todo en las redes sociales y en internet.

Las difamaciones e injurias en modalidad “online” son un claro ejemplo de un ejercicio abusivo de lalibertad de expresión, y como tal, sus autores deberán ser responsabilizados civil y penalmente antela Justicia que sea competente.

Sin libertad de expresion no hay flujo de ideas y no existe Estado de Derecho. Empero, como tododerecho, debe ejercerse en forma razonable, regular y no abusiva ya que la ley no ampara el ejercicioabusivo de los derechos, considerandose tal, al que contrarie los fines que aquella tuvo en mira al re-conocerlos o al que exceda los limites impuestos por la buena fe, la moral y las buenas costumbres.

En este sentido se ha sostenido que el ejercicio del derecho de expresion de ideas u opiniones no puedeextenderse en detrimento de la necesaria armonia con los restantes derechos constitucionales, entrelos que se encuentran el de la integridad moral, el honor y la intimidad de las personas.

Pablo Schiavi

BIBLIOGRAFIA

DI CIOCO, Lucía. – “Google: olvida mi nombre”; http://www.cromo.com.uy/google-olvida-mi-nombre-•n955589

LÓPEZ JIMÉNEZ, David.- La protección de datos de carácter personal en el ámbito de las redes sociales•electrónicas: el valor de la autorregulación; Universidad de Alcalá de Henares. Servicio de Publicaciones,2009.

PIÑAR MAÑAS, José Luis.- “Guía del Derecho Fundamental a la protección de datos de carácter perso-•nal”, (Agencia Española de Protección de Datos, 2004). La información de esta Guía puede ser ampliadaen Servicio de Atención al Ciudadano: www.agpd.es.

SCHIAVI, P. (2018). – «El derecho al olvido en tiempos de “Google”. Primeras aproximaciones a su regu-•lacion en Uruguay». Estudios de Derecho Administrativo, (17), 237-255.

SCHIAVI, Pablo. – “El derecho al olvido y a la protección de datos personales en Uruguay”; en Revista•de Derecho de la Universidad de Montevideo - Número 31- Año 2017; pp. 55 y ss.

SCHIAVI, Pablo. – “La protección de los datos personales en las redes sociales”; en Estudios de Derecho•Administrativo; 2013, Nº 7; Director Augusto Durán Martínez; Coordinador Pablo Schiavi; LA LEY URU-GUAY; Montevideo, 2013; pág. 215 y siguientes.

SCHIAVI, Pablo. – “Estudios de Información Pública y Datos Personales”, Recopilación de trabajos de•investigación de los cursos de postgrado 2014-2015. Coordinador. Universidad de Montevideo – Facultadde Derecho, Montevideo 2016.

SCHIAVI, Pablo. – “Estudios de Información Pública y Datos Personales”, Recopilación de trabajos de•investigación de los cursos de postgrado 2012-2013. Coordinador. Universidad de Montevideo – Facultadde Derecho, Montevideo 2014.

TOMEO, F. (2018). – Calumnias e injurias on line. Diario Suplemento Derecho y Tecnologías, Nro. 46.•

TOMEO, F. (2013). – «La identidad digital es tan importante como la rea » en•http://www.lanacion.com.ar/1579733-la-identidad-digital-es-tan-importante-como-la-real.

TOMEO, F. (2013). – La reputación en la web y el cleaning digital. Derecho al Día, Año XII - Edición•217; http://www.derecho.uba.ar/derechoaldia/notas/la-reputacion-en-la-web-y-el-cleaning-digital/+4925.

TOMEO, F. (2012). – «El derecho al olvido en la Web pasó al olvido» en•http://www.lanacion.com.ar/1531755-el-derecho-al-olvido-en-la-web-paso-al-olvido.

TOMEO, F. – «Responsabilidad penal de los administradores de sitios web. El caso Taringa!» en La LEY•ON LINE Cita Online: AR/DOC/1692/2011.

TOMEO, F.–«El derecho al olvido en la Web pasó al olvido» en http://www.lanacion.com.ar/1531755-el-•derecho-al-olvido-en-la-web-paso-al-olvido.

TOMEO, F.– «Responsabilidad penal de los administradores de sitios web. El caso Taringa!» en La LEY•ON LINE Cita Online: AR/DOC/1692/2011.

TOMEO, F.– «La identidad digital es tan importante como la real» en•http://www.lanacion.com.ar/1579733-la-identidad-digital-es-tan-importante-como-la-real.


ANATOMÍA DEL BARREIRO MONTIJO:

DISPOSICIONES DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS AAPLICAR EN EL CASO DEL CENTRO HOSPITALAR BARREIRO MONTIJO

BARREIRO MONTIJO’S ANATOMY:

GENERAL DATA PROTECTION REGULATION RULES FOR

CENTRO HOSPITALAR BARREIRO MONTIJO CASE

Raúl Vasquez Rodriguez1

1 Licenciado en Derecho por la Pontificia Universidad Católica del Perú, Magíster en Derecho de la Propiedad Intelectualy Derecho de la Competencia por la Pontificia Universidad Católica del Perú.




ISSN 2530-4496 – AÑO 1, N° 6, 2019, PÁGS. 165 -188

RESUMEN:

Este artículo estudia los principios y obligaciones del Reglamento General de Protección de Datosque, de acuerdo con la Deliberación N° 984/2018 de la Comisión Nacional de Protección de Datos dePortugal, el Centro Hospitalar Barreiro Montijo no cumplió con aplicar en el tratamiento de datos desus pacientes, haciendo un análisis de tales disposiciones así como de la forma en que dicha entidadpuede aplicarlas, haciendo énfasis en lo relativo a las medidas de seguridad informática de sus sistemasde tratamiento automatizado de datos, y su vínculo con los enfoques de Privacidad desde el Diseño,Privacidad por Defecto y Responsabilidad Proactiva.

PALABRAS CLAVE:

Datos, Salud, Seguridad, Informática, Reglamento

INTRODUCCIÓN:

Tuvo considerable repercusión en la prensa2 la Deliberación N° 984/2018 de la Comisión Nacionalde Protección de Datos de Portugal (“CNPD”), a pesar de no haber sido publicada por este órgano na-cional, con motivo de ser una de las primeras sanciones emitidas bajo el Reglamento General de Pro-tección de Datos (“RGPD”), referida a la inobservancia de principios e inaplicación de medidas deseguridad, circunstancias que resultan atractivas para la investigación.

Dicha resonancia se debe también al tipo de datos personales cuyo apremio se evidenció, que son losdatos relativos a la salud, los cuales despiertan el interés por su importancia en cada individuo, al seruno de los aspectos más íntimos de las personas, y al ser un insumo principal en las entidades dedicadasa los servicios de salud, obligadas a velar tanto por la calidad y confiabilidad de la información3, asícomo por su seguridad.

El presente trabajo se centrará en los conceptos desarrollados a partir de este caso, vale decir, lo refe-rente a los datos relativos a la salud, la aplicación de los principios en torno a su tratamiento, así comolas medidas de seguridad contempladas en el RGPD, sin entrar a evaluar el procedimiento adminis-trativo sancionador llevado por la autoridad, la CNPD, para resolver, ni los criterios que haya seguido.

En tal sentido, es objetivo del presente trabajo conocer las disposiciones del RGPD, en conjuncióncon las disposiciones portuguesas aplicables, partiendo de su repaso, para llegar al análisis de las de-ficiencias en su aplicación que hubo en el caso del Centro Hospitalar Barreiro-Montijo, E.P.E.(“CHBM”) y de las medidas que deberán adoptarse para enmendar tales desprolijidades, enfocandolas propuestas en el uso de sus sistemas de tratamiento automatizado de datos.

1. MARCO DEL ESTUDIO.

La sancionada, CHBM es una entidad pública empresarial del distrito de Setúbal, dirigente de los hos-pitales de Nuestra Señora del Rosario, en Barreiro, y el Municipal de Montijo, contando con alrededorde 500 camas, disponibles para 213.000 habitantes4 de cuatro municipios de dicho distrito.

2 “Sindicato admite que há pessoal nao médico con acesso a dados de doentes”. Diário de Noticias, Lisboa, 26 de octubrede 2018.

https://www.dn.pt/pais/interior/sindicato-admite-que-ha-pessoal-nao-medico-com-acesso-a-dados-de-doentes-10090287.html Consultado el 12 de febrero de 2019.

3 RODRIGUES, Roberto J., WILSON, Petra y SCHANZ, Stephen J.. The Regulation of Privacy and Data Protection inthe Use of Electronic Health Information, Organización Panamericana de la Salud, Washington D.C., Estados Unidosde América, 2001, págs. 23-24.

4 Información extraída de http://www.chbm.min-saude.pt/centro-hospitalar/historia. Consultado el 16 de febrero de2019.

ANATOMÍA DEL BARREIRO MONTIJO:DISPOSICIONES DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS A APLICAR EN EL CASO DEL CENTRO HOSPITALAR BARREIRO MONTIJO

En mérito de una denuncia del Sindicato de Médicos del Sur, la CNPD inició una investigación aCHBM, detectando gracias a sus pesquisas que el sistema automatizado de tratamiento de los datosde sus pacientes permitía el acceso de 985 usuarios de diversa actividad y nivel profesional, cuandocontaba con 296 médicos, así como se halló la posibilidad de irrestricta creación de perfiles de usua-rios.

En el caso, se aprecia el uso de dos sistemas aplicados por los Servicios Compartidos del Ministeriode Salud, como el Sistema Integrado de Información Hospitalaria, de uso administrativo (conocidocomo “SONHO”), y el Sistema de Registro Clínico Hospitalario que contiene los datos de los pacientes(“SClínico”), a los cuales se puede acceder por medio de la Plataforma de Datos de Salud (“PDS”)según los requerimientos de cada establecimiento que forma parte. A partir de la creación de un usuarioen la PDS por parte de los peritos de la CNPD, es que se pudo detectar los accesos irrestrictos a lossistemas ya mencionados.

En consecuencia, a través de la Deliberación N° 948/2018 del Procedimiento N° 9932/2018, se le san-cionó con una multa de 400.000 euros, por los siguientes hechos5:

No restringir al acceso indiscriminado a los datos relativos a salud de pacientes, por parte de•usuarios cualquier tipo de perfil, en incumplimiento de los literales c) y f) del artículo 5.1 delRGPD.

Incapacidad de asegurar la confidencialidad, disponibilidad, integridad y resiliencia de dichos•datos, en incumplimiento de los literales b) y d) artículo 32.1 del RGPD.

2. LOS DATOS RELATIVOS A LA SALUD EN EL RGPD Y LOS DATOS SUJETOS A TRA-TAMIENTO EN LA ATENCIÓN SANITARIA

El considerando 35 del RGPD señala que se debe entender de forma amplia los datos relativos a lasalud, incluyendo en el concepto los de salud física y mental del pasado, presente y futuro, los proce-dentes de muestras biológicas y genéticas, así como identificaciones del interesado como paciente.Por ello, la definición del numeral 15 de su artículo 4 tiene un listado expositivo, no exhaustivo, delos datos que entrarían en la categoría, como señala DI PIZZO6.

Por su parte, el considerando 51 de la RGPD resalta el especial grado de protección que merecen losdatos relativos a la salud, considerados “sensibles” por el alto riesgo para los derechos fundamentalesque su tratamiento entraña, al existir la posibilidad de ser objeto de hechos discriminatorios ilegales,como en el ejemplo propuesto por REMOLINA7 (y sobre el cual, el considerando 75 del RGPD hacereferencia), en diversos entornos donde se desenvuelva el interesado, en una situación dañina queacontezca en torno a información que, en muchos casos, pertenece a la esfera más íntima del intere-sado.

En tal sentido, y siguiendo lo señalado por TRUJILLO, el artículo 9 de la RGPD adopta como reglala prohibición de su tratamiento8, que tiene como una de sus excepciones al literal h) de su numeral

5 “Hospital do Barreiro contesta judicialmente coima de 400 mil euros de Comissao de Dados”. Público, Lisboa, 22 deoctubre de 2018. https://www.publico.pt/2018/10/22/sociedade/noticia/hospital-barreiro-contesta-judicial-mente-coima-400-mil-euros-comissao-dados-1848479. Consultado el 12 de febrero de 2019.

6 DI PIZZO CHIACCHIO, Adrián. La Expansión del Derecho al Olvido Digital. Efectos de “Google Spain” y el BigData e implicaciones del Nuevo Reglamento Europeo de Protección de Datos. Editorial Atelier S.A., Barcelona, Es-paña, 2018, págs. 249-250.

7 REMOLINA ANGARITA, Nelson. Tratamiento de Datos Personales. Aproximación Internacional y Comentarios a laLey 1581 de 2012. Legis Editores S.A., Bogotá, Colombia, 2013, pág. 149.

8 TRUJILLO CABRERA, Carlos. “Las Bases de Legitimación del Tratamiento de Datos Personales. En Especial, el Con-sentimiento”, en Protección de Datos, Responsabilidad Activa y Técnicas de Garantía, dirigido por Juan PabloMURGA FERNÁNDEZ, María de los Ángeles FERNÁNDEZ SCAGLIUSI y Manuel ESPEJO LERDO DE TE-JADA. Editorial Reus, S.A., Madrid, España, 2018, pág. 65.

Raúl Vasquez Rodriguez

2, el cual prevé situaciones de asistencia sanitaria o social, y la gestión de servicios vinculados, si-guiendo el concepto de salud como un bien público que requiere atención en los ámbitos físico, psí-quico y social del paciente, dando licitud al tratamiento de datos que van más allá del concepto de“datos relativos a la salud”.

Entonces, la condición de licitud del tratamiento de tal categoría de datos por parte del CHBM, asícomo la importancia de la prolijidad del mismo para sus actividades, hace a esta entidad no solo sujetosino un legítimo interesado en el cumplimiento de las obligaciones relativas a medidas de seguridadse refiere el RGPD, sean derivados de los principios relativos al tratamiento como de las disposicionesde seguridad acordes a su categoría y otras características especiales que veremos a continuación.

3. PRINCIPIOS RECTORES DEL TRATAMIENTO DE DATOS, EN EL ESCENARIO DELCASO

Es inviable estudiar la adecuación del tratamiento sin reparar en sus principios rectores, descritos porPALMA como reglas que demarcan la forma en la que debe efectuarse el tratamiento de los datos,cumpliendo “una función informadora e integradora”9 de las normas sobre protección de los datospersonales e instituyendo sus objetivos, los cuales habrán de cumplirse por medio de las disposicionesespecíficas.

Al haberse detectado el acceso a los datos de pacientes del CHBM por parte de usuarios de perfilesdistintos del sistema de tratamiento, así como la posibilidad de creación de perfiles, sin criterios de li-mitación aparente, la CNPD ha señalado una circunstancia que colisiona con algunos de los principioscontemplados en el artículo 5 del RGPD, que serán analizados a continuación:

a) Principio de limitación de la finalidad (Art. 5.1, literal b)El considerando 39 del RGPD establece que los fines del tratamiento deben explícitos y legítimos, asícomo conocidos por el interesado al momento de su recogida, puesto que, siguiendo al principio detransparencia, es necesario que tenga conocimiento todo lo beneficio, pernicioso o riesgoso del trata-miento, ya sea directamente, por medio de la mención exacta de sus fines del tratamiento, o indirec-tamente, con la mención de sus fines y lo que de ello pueda desprenderse en cada situación.

Este principio contempla en sí dos supuestos de hecho que no necesariamente se concretan en todoslos casos, pero son de alta probabilidad dadas las condiciones actuales, considerando la versatilidad eimposibilidad de agotamiento del dato personal como insumo para diversas actividades y como bienen sí mismo, así como el entorno propicio para su libre circulación, principalmente en el tratamientopor medio de sistemas web y otras tecnologías de la información, siendo dicha circulación de datos laregla y su estática, la excepción.

Si bien DÁVARA RODRÍGUEZ llega a reconocer un tercer momento del tratamiento, en la cesiónde los datos10, nos referiremos a dos momentos que se leen en el artículo analizado, donde el respon-sable mantiene el poder de decisión sobre los datos, incluso habiendo participación de terceros. Dichosmomentos son:

La recopilación con fines determinados, explícitos y legítimos: Situación que implica el•establecimiento de los fines del tratamiento de forma previa a efectuarlo, marcándolos conel nivel de especificidad necesario para restar ambigüedades o extensiones indeseadas deltratamiento, y con claridad de lenguaje suficiente para que el interesado pueda ejercer debi-damente su derecho a información, en caso de que los fines no resulten obvios ni presumiblespor la naturaleza de la actividad.

9 PALMA ORTIGOSA, Adrián. “Principios Relativos al Tratamiento de Datos Personales”, en Protección de Datos, Res-ponsabilidad Activa y Técnicas de Garantía, dirigido por Juan Pablo MURGA FERNÁNDEZ, María de los ÁngelesFERNÁNDEZ SCAGLIUSI y Manuel ESPEJO LERDO DE TEJADA. Editorial Reus, S.A., Madrid, España, 2018,pág.40.

10 DÁVARA RODRÍGUEZ, Miguel Ángel. Manual de Derecho Informático. Editorial Aranzadi S.A., Cizur Menor (Na-varra), España, 2015, pág. 77.


Todo lo anterior debe darse siguiendo un presupuesto: Que el tratamiento se encuentre am-parado por el ordenamiento jurídico, sin que recaiga prohibiciones o vulnere derechos de ter-ceros, presupuesto con una situación especial en el caso del tratamiento de los datos relativosa la salud u otros de categorías especiales, al exigir que se encuentren en uno de los supuestosde legitimación del artículo 9 del RGPD.

El tratamiento ulterior con fines incompatibles a los establecidos: Prohíbe el tratamiento•de datos posterior en el tiempo, que no sea coherente con la finalidad que lo motiva (adjetivobien utilizado por CASTRO11), pudiendo ser complementario o consiguiente a los fines deltratamiento primigenio, realizado por el responsable o encargado.

La compatibilidad del tratamiento ulterior debe definirse según, entre otros, los criterios pre-vistos en el artículo 6.4 del RGPD, como son la relación entre ambos fines, el contexto de larelación entre responsables e interesados (en nuestro caso, los pacientes), la existencia de ga-rantías adecuadas para la seguridad de los datos, las posibles consecuencias del nuevo trata-miento para los interesados, y la naturaleza de dichos datos, cuando sean de una categoríaespecial.

En el CHBM, el tratamiento de los datos relativos a la salud tiene como fin llano la asistencia sanitaria,que según se reseñó sobre ella en el título anterior, incluye el entorno social del paciente, así como in-formación de interés para profesionales de la salud no médicos, con lo que se tiene una pluralidad defines de tratamiento, a ser puestos en marcha por personas con diversos cargos.

Asimismo, se tiene que el CHBM, como entidad pública, puede efectuar tratamientos ulteriores pre-vistos por el artículo 9 del RGPD, relativos al interés público amparado en sus competencias (literalg) del numeral 2), pudiendo su compatibilidad determinarse en una norma comunitaria o nacional12,como se menciona en el considerando 50 del RGPD y a situaciones respecto de la salud pública (literali) del numeral 2). En este caso, a través de la PDS se permite el manejo específicamente del sistemaSClínico y la información que este almacena, debiendo deber tal acceso al rol que cada establecimientousuario brinde a su trabajador.

Si bien la CNPD no habría detectado la realización de un tratamiento ulterior de los datos de los pa-cientes del CHBM, es preciso tener clara la concepción de este principio, puesto que de acuerdo a losfines se marcarán cuáles y cuántos datos deben ser objeto de tratamiento, teniendo directa relacióncon el principio de minimización de datos.

b) Principio de minimización de datos (Art. 5.1, literal c)Este principio, aplicado no solo a la recogida de datos, restringe cualitativamente el tratamiento deestos, debiendo reducirse a lo estrictamente vinculado a sus fines establecidos, en razón de pertinenciay adecuación como se menciona en el considerando 39 del RGPD, con lo cual se busca evitar el tra-tamiento de datos irrelevantes o que resulten excesivos para alcanzar dichos fines, siendo tarea delresponsable mantener el equilibro de la información en sus sistemas.

Hacemos referencia a una restricción inicial “cualitativa”, puesto que la limitación de la cantidad dedatos es producto de la naturaleza de los mismos y de la utilidad de estos para cada fin determinadodel tratamiento. Por consiguiente, la determinación de un número mayor o menor de datos que seránobjeto de tratamiento, no obedece más que a esa índole de evaluación, sobre la necesidad de cada unode sus fines, buscando con ello que el responsable del tratamiento dirija su tratamiento al mínimo ne-cesario en cada caso.

11 CASTRO CRUZATT, Karin, “El Derecho Fundamental a la Protección de Datos Personales: Aportes para su Desarrolloen el Perú” en Ius et Veritas. Asociación Civil Ius et Veritas, Lima, Perú, año 18, N° 37, 2008, pág. 267.

12 Conviene atender al ejemplo propuesto por GUICHOT sobre la transmisión de datos entre entidades, donde los vínculosentre fines compatibles pueden derivar de competencias legales distintas por instrumentalidad, como entre hospitalesy entes administrativos del sector. En GUICHOT, Emilio. Datos Personales y Administración Pública. Thomson Ci-vitas, S.L., Navarra, España, 2005. págs. 245-250.


Ahora bien, es notoria en la redacción del literal, la carencia de un límite temporal “estricto” comoseñala el considerando 39 mencionado, dependiente también de los fines. Dicho elemento está en elprincipio de limitación del plazo de conservación del literal e) del artículo 5.1, que puede satisfacersecon revisiones periódicas del cumplimiento de los fines y, por ende, de su la utilidad de su conserva-ción.

Como mencionamos respecto de la limitación de la finalidad, existe una pluralidad de fines de trata-miento que coexiste con la totalidad de datos de los pacientes; siendo que no todos esos datos sirvenpor igual a los distintos fines, sino que dicha utilidad es variable, no teniendo la misma utilidad paraun técnico médico o nutricionista la información sobre la composición familiar del paciente, como latendría para un asistente social, por ejemplo. Como señala correctamente DÁVARA FERNÁNDEZDE MARCOS13, este principio da cabida a conceptos indeterminados y altamente interpretables, querequieren de un cuidadoso examen de los datos tratados para definir la calidad de su tratamiento.

Al detectarse en el sistema de tratamiento de los datos de pacientes del CHBM perfiles de usuario conaccesos inadecuadamente diseñados, que no se asignaban según el nivel o función de cada usuario, sedetectó también la posibilidad de consultas irrestrictas de la información clínica de los pacientes al-macenada en el sistema SClínico, así como de su información social y familiar, también a través delsistema SONHO. Nótese que el caso obliga a efectuar una evaluación más allá de la recogida inicial,requiriendo de la pertinencia del examen sobre los accesos efectuados, que los peritos de la CNPDdetectaron.

Ahora bien, conviene preguntarse lo siguiente: ¿Se hubiera podido neutralizar el conocimiento o vi-sualización de la información de los pacientes, sin necesidad de calificar la adecuación de los accesos,o sin restringirlos, a los sistemas del CHBM? La respuesta implica una medida preventiva a aplicarsobre los soportes automatizados que contienen dichos datos, que impidan desde el dato o el soporteen sí mismo cualquier acción no autorizada sobre él, y que forme parte de un conjunto encaminado aasegurar ciertas cualidades de los datos, como se estudiará más adelante.

c) Principio de integridad y confidencialidad (Art. 5, numeral 1, literal f)Como señala adecuadamente DÁVARA RODRÍGUEZ, la seguridad debe entenderse inicialmentecomo la disposición de medios a fin de evitar que se produzcan atentados contra los derechos de laspersonas, implicando también el conocimiento de valores de riesgo entorno al tratamiento14.

En tal sentido, más allá de que esté referido a ficheros automatizados, cabe atender a lo dispuesto enel Convenio 108, el cual establece en su artículo 7 la obligación de adoptar medidas de seguridadapropiadas para la protección de datos contra la destrucción accidental o no autorizada, o la pérdidaaccidental, así como contra el acceso, la modificación o la difusión no autorizados. De ello, se des-prende que, primigeniamente, existe la obligación para el responsable del tratamiento consistente entomar las medidas pertinentes para evitar la vulneración de las siguientes dos cualidades de los datos:

Confidencialidad: Protección contra el tratamiento no autorizado, que implica el acceso y visualiza-ción ejercida sin autorizaciones, así como, a nuestro entender, la ejecución de otras modalidades detratamiento prohibidas a determinados usuarios, según las necesidades de la operación.

Integridad: Protección contra la pérdida, destrucción, daño de los datos, a través de la afectación desus soportes, y contra su modificación no autorizada.

Dicha demanda, presente desde lo más fundamental de la normativa europea, se atiende en el consi-derando 39 del RGPD, que establece el deber de seguridad y confidencialidad sobre los datos, asícomo sobre los soportes utilizados para su tratamiento, debiendo impedir el acceso o los usos no au-torizados.

13 DÁVARA FERNÁNDEZ DE MARCOS, Isabel. Hacia la Estandarización de la Protección de Datos Personales. Edi-torial La Ley, Madrid, España, 2011, págs. 295-296.

14 DÁVARA RODRÍGUEZ, Miguel Ángel. La Protección de Datos Personales en el Sector de las Telecomunicaciones.Universidad Pontificia Comillas, Madrid, España, 2000, págs. 24-25.


En tal sentido, el articulado del RGPD presenta una novedad acorde con su importancia, como men-ciona PALMA: El reconocimiento expreso de su calidad de principio en el literal f) de su artículo 5.1,referente para la aplicación de medidas de seguridad en las operaciones de tratamiento de datos15, conla finalidad de garantizar las mencionadas dos cualidades ante cualquier tratamiento ilícito o no auto-rizado.

En esta parte, es necesario preguntarse si dicho principio establece una obligación de medios o de re-sultado en el tratamiento. Consideramos que se trata del primer caso, basando el argumento sobre lasistemática de la RGPD, que establece en su artículo 33 el procedimiento para notificar una violaciónde las medidas de seguridad, que implica la aceptación de un grado, residual, de vulnerabilidad quepuede existir en la implementación diligente tales medidas. Así también, se tiene una razón totalmenteactual, que es la ventaja del avance de la tecnología sobre los mecanismos de seguridad establecidospara un tiempo anterior, inmediato o no.

Por consiguiente, la calificación de la inobservancia de tal principio no debe basarse en la concreciónde una vulneración de la confidencialidad y/o integridad de los datos, pues la conducta esperada delresponsable del tratamiento consiste en tener un nivel de seguridad que garantice tales cualidades enuna determinada actividad, siendo suficiente para impedir la concreción de amenazas respectivas, elactuar razonable y diligente de aquel respecto de las medidas de seguridad. En el sentido contrario,una conducta negligente que implique un riesgo para los datos personales, sin tener que ahondar en laexistencia de algún daño, será objeto de reproche hacia el responsable.

Como se verá más adelante, no existe un listado exhaustivo de medidas de seguridad de obligatoriaaplicación, sino que las mismas deben adoptarse obedeciendo a criterios tales como la categoría dedatos a tratar, la cantidad de los mismos, el estado de la técnica, la modalidad de tratamiento, entreotros. El resultado a alcanzar es la garantía suficiente para la confidencialidad e integridad de los datospersonales, debiendo para ello adoptarse los medios que, según cada caso, sean exigibles.

Se aprecia en el caso del CHBM que se llegó al estado de acceso indiscriminado a los datos de los pa-cientes contenidos en los sistemas Sclínico y SONHO, debido a que no se implementaron medidasque garanticen la confidencialidad e integridad de aquellos datos, tanto a nivel del acceso por mediode la PDS. Si bien no se habría podido comprobar hechos como alteraciones no autorizadas de talesdatos, perjudiciales también para la integridad de los mismos, sí se comprobó la probabilidad de queestos puedan tener ocasión, al igual que con hechos que afecten la confidencialidad, al verificarse elriesgo de visualización y difusión ilegítimas.

Ahora bien, en la deliberación de la CNPD, se establece como ilícito la incapacidad de demostrar laadopción de tales medidas y por ende, de garantizar la seguridad de los pacientes del CHBM. Esta ca-lificación nos lleva a otra novedad que el RGPD trae consigo en sus principios, esta vez, en lo referentea la conducta general del responsable del tratamiento: El principio de la Responsabilidad Proactiva.

d) Responsabilidad proactiva (Art. 5 numeral 2)En el considerando 74 del RGPD, se hace una mención al doble ámbito de la responsabilidad de aquelque efectúa el tratamiento de los datos personales, mencionando la obligación de aplicar medidasoportunas y eficaces para asegurar el adecuado tratamiento, por un lado, y la de demostrar la confor-midad con dicho reglamento, de toda la operación de tratamiento, pudiendo adoptar en cualquier mo-mento, medidas encaminadas a cimentar dicha consonancia.

Sobre dicha base, el mencionado reglamento, por medio de su artículo 5.2, ya no solo exige el cum-plimiento efectivo de los principios, a través de las disposiciones que desarrolla en los artículos si-guientes, sino también la capacidad de demostrar dicho cumplimiento, al contar con medidas deseguridad eficaces para prevenir, contrarrestar y revertir los efectos de alguna eventual violación de

15 PALMA ORTIGOSA, Adrián. Op. Cit., pág.47.


la seguridad. Ello, implica que la exigencia sobre el responsable del tratamiento de garantizar el tra-tamiento adecuado sea permanente, manteniendo un escenario continuamente propicio para ello.

Es así que se adopta un enfoque proactivo, que en lugar de solo exigir el cumplimiento de medidaspreestablecidas normativamente y actuar frente a un incidente, requiere la efectividad de medidas deseguridad acordes con el funcionamiento de cada organización y con el avance de la tecnología, pu-diendo el responsable demostrar siempre su capacidad de prevenirlas y revertir sus efectos.

Con ello, el responsable deberá tener las condiciones para estar “siempre listo”, contando con una ar-quitectura en la cual, los mecanismos técnicos y organizativos de protección de los datos personalesse encuentren permanentemente activos. Por ello, dicho precepto demanda que tales medidas sean ob-jeto de revisión y actualización permanente, sin fijar un parámetro para efectuar tales revisiones, comoindica adecuadamente DI PIZZO16, así como la adopción de políticas de protección de datos, sin es-tablecer una tipología específica de estos, más allá de la adopción de códigos de conducta y certifica-ciones.

Nuevamente, no somos de la idea de que la falta de definición de las políticas de protección de datoso de los parámetros de revisión y actualización de los mecanismos mencionados sea un factor siemprepernicioso, sino que permite la flexibilidad para el desarrollo de sistemas de resguardo que sean com-patibles con las actividades a desarrollar por el responsable en lo concerniente al tratamiento de datospersonales, así como con las categorías de los mismos.

Ahora bien, dicha flexibilidad no quita la pregunta acerca del tipo de medidas o documentos que im-pliquen la prontitud exigida para prevenir y responder ante cualquier vulneración, fuera de documentoscon valor probatorio general como las certificaciones y códigos de conducta. Referimos entonces alos documentos internos, directrices emitidas bien para la generalidad de tratamientos y para activi-dades específicas, que cuenten con previsiones suficientes en cuanto al uso de instrumentos técnicoscomo a aquellos dirigidos a controlar las conductas del personal, que a su vez, como bien proponeREMOLINA17, tengan la neutralidad suficiente como para conservar la aptitud de responder al avancetecnológico.

Como se señaló en la deliberación sancionadora al CHBM, este no pudo demostrar tener implemen-tadas medidas de seguridad. Esta situación fue más allá de la carencia de medidas específicas, puestoque llegó a la comprobación de que no sólo no habría podido menguar el riesgo, sino que tampocotuvo recursos idóneos para detectar y calificar ese riesgo, lo cual implica que la organización podríahasta contrarrestar ciertas vulneraciones que surjan contra la confidencialidad e integridad de los datosde sus pacientes, pero no tendría la capacidad de predecir y repeler vulneraciones sobrevinientes.

Para tales efectos, el RGPD prevé diversas normas concernientes a la seguridad y la adecuada protec-ción de los datos y la privacidad, a fin de darle un nuevo grado de importancia, partiendo desde unnuevo enfoque: El de la privacidad desde el diseño y por defecto.

4. ENFOQUE DE PRIVACIDAD DESDE EL DISEÑO Y PRIVACIDAD POR DEFECTO

La hipótesis de Ann Cavoukian al acuñar el concepto de la Privacidad desde el Diseño (Privacy byDesign), se basaba en que el cumplimiento de normas prestablecidas resultaba ser insuficiente paraproteger la privacidad, ya que el avance de la tecnología supera a lo establecido para un período o si-tuación específica, a distintas eventualidades en el tiempo. Por ello, la entonces Comisionada de In-formación y Privacidad de Ontario (Canadá) consideró necesario que la privacidad no se active soloante un riesgo específico, sino que sea una parte permanentemente activa de la estructura y del fun-cionamiento de los sistemas, así como una de las finalidades primordiales de las operaciones.

16 DI PIZZO CHIACCHIO, Adrián. Op. cit, págs. 279-280.

17 REMOLINA ANGARITA, Nelson. Op. cit., págs. 220-221.


La Privacidad desde el Diseño consta de siete principios18:

Proactivo y preventivo, al no ofrecer solo remedios, sino prever los posibles riesgos y contar•con medios de mitigación, según las evaluaciones del impacto de riesgos.

Privacidad como configuración predeterminada, siendo esta una de sus funcionalidades•básicas, de acción preventiva automática.

Privacidad integrada al diseño, no como complemento, sino como actividad protagonista•del diseño desde el comienzo y como su finalidad.

Plena funcionalidad y beneficios (win-win), con la privacidad en el núcleo del sistema se•benefician todos: Responsable, encargados de tratamiento y desarrolladores de sistemas odispositivos de tratamiento de datos, así como los interesados, lo cual garantiza el equilibrio.

Seguridad de extremo a extremo en el ciclo, gestionando la seguridad de la información•en cada actividad del proceso de tratamiento de datos.

Visibilidad y transparencia, siendo las operaciones accesibles para los interesados y usua-•rios, debiéndoles informar sobre las mismas y la finalidad de las actividades de tratamiento.

Respeto por la privacidad del usuario, estableciendo como interés superior el bienestar del•interesado, permitiéndole el ejercicio de derechos en torno a sus datos.

Dicha lógica parece ser atendida en el considerando 78 del RGPD, contempla el deber de adoptar elenfoque de Privacidad desde el Diseño y por Defecto y la necesidad de emisión de disposiciones com-patibles con los principios antes reseñados, tales como la transparencia en las operaciones o el incentivoa los desarrolladores de servicios y productos a tomar la privacidad como un bien en sí misma, inclu-yendo también dentro de este interés a otros agentes relacionados al tratamiento de datos.

Así, en virtud de la Privacidad desde el Diseño, el art. 25.1 del RGPD establece la obligación para elresponsable del tratamiento, de aplicar medidas técnicas y organizativas abarcando dos etapas: En lade determinar los medios de tratamiento y en el momento de su ejecución. Dichas medidas deben serde aplicación conjunta, conformando una estructura o sistema que tenga como principio y fin la pri-vacidad.

Dicha disposición es fiel a los principios reseñados, toda vez que el preestablecimiento de las medidasfavorables a la privacidad implica su incrustación en cada sistema del tratamiento, conservando neu-tralidad respecto de los medios a fin de evitar la desestabilización y el desmedro de la seguridad anteel avance tecnológico y sus cambios. Los resultados de su implementación se reflejarán no solo conla activación de los sistemas mencionados, sino en la comprobación de la aptitud de los mismos paraprevenir, repeler o menguar un acto dañino para la privacidad.

Cada estructura de seguridad debe elaborarse obedeciendo también a los factores individuales de suresponsable, como su capacidad económica para sufragar el costo, y los recursos disponibles para élsegún el estado de la técnica (ámbito subjetivo); lo cual, como se viene mencionando, debe ser fun-cional a los fines y contexto del tratamiento (ámbito objetivo), y a los riesgos que puedan surgir deeste, según se detecten por medio de la evaluación del impacto para la protección de tales datos.

Ahora bien, aún cuando el artículo reseñado, así como lo señalado en el considerando 78 mencionado,recomienda algunos mecanismos de seguridad específicos, como la seudonimización y la adopciónde políticas internas, se deja plena libertad para la elección de las medidas que el para el sistema seanoportunas, como señalan LORENZO, PALMA y TRUJILLO19, en concordancia con las otras dispo-

18 CAVOUKIAN, Ann. Privacy by Design. The 7 foundational principles. En https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf. Consultado el 12 de febrero de 2019.

19 LORENZO CABRERA, Sara, PALMA ORTIGOSA, Adrián y TRUJILLO CABRERA, Carlos. “ResponsabilidadProactiva”, en Protección de Datos, Responsabilidad Activa y Técnicas de Garantía, dirigido por Juan Pablo MURGAFERNÁNDEZ, María de los Ángeles FERNÁNDEZ SCAGLIUSI y Manuel ESPEJO LERDO DE TEJADA. EditorialReus, S.A., Madrid, España, 2018, pág. 149.


siciones del reglamento ya estudiadas, tomando en consideración su correspondencia a una arquitecturacon vocación de permanencia, en donde se adopta la privacidad como principio y fin.

Por su parte, el art. 25.2 del RGPD desarrolla el precepto de la Privacidad por Defecto obliga a que,en virtud de esta manifestación del principio de minimización (de acuerdo con el vínculo que apreciaDI PIZZO20), se aplique como función primaria o por defecto, la restricción del tratamiento respectode los siguientes elementos:

Cantidad de datos: Debiendo ser objeto de tratamiento solo el número de datos necesario•para cada fin.

Extensión del tratamiento: Sobre las actividades de tratamiento, limitándose solo a lo nece-•sario para su fin.

Plazo de conservación: Sobre el tiempo durante el cual transcurra el tratamiento, debiendo•ser solo el necesario para su fin.

Accesibilidad: Sobre el número y cualidad de personas que vayan a acceder a los datos, de-•biendo ser solo las que efectúen acciones necesarias, según la actividad.

Del texto legal se desprende que los controles mencionados tienen como objetivo evitar la accesibilidadde un número indeterminado de personas, sin que haya mediado acto humano que facilite tal situaciónde “apertura”. Con ello, el RGPD se aparta de los supuestos de reacción ante un incidente de seguridadde la información, como los accesos no autorizados, sino que va a una etapa anterior, en el cual sebusca que desde el comienzo de las operaciones de tratamiento, existan unas condiciones mínimas deseguridad para su desarrollo.

Estas disposiciones, según nuestro entender, inevitablemente involucran a desarrolladores de sistema,así como a encargados del tratamiento, cuya participación en el proceso del tratamiento, de maneradirecta o indirecta, exige que también asimilen la privacidad como parte de su producto y de las ca-racterísticas de su calidad.

En el caso específico de nuestro estudio, el servicio asistencial del CHBM debe incluir el resguardode la privacidad, más aún de los datos de sus pacientes, como un elemento nuclear, asumiendo la pri-vacidad como una de las metas de sus prestaciones; entonces, en virtud de tales principios de la pri-vacidad, debe adoptar las medidas de seguridad necesarias para la clase de tratamiento de datos querealiza, así como por las peculiaridades del mismo.

Ahora bien, la obligación antes detallada, respecto de los datos de los pacientes del CHBM, se extiendeentre entidades involucradas con este, desde los desarrolladores de la PDS, de los sistemas SONHOy SClínico, llegando a aquellas vinculadas por motivos sectoriales, como el Ministerio de Salud, o laautoridad de nivel regional, que no solo tengan acceso a los datos, sino que provean soportes para di-versas actividades de tratamiento de los mismos.

Con el entorno marcado, se precisa volver a la evaluación del estado actual de las cosas, para aplicarlo pertinente del RGPD, y para comenzar con el conocimiento de ello, conviene examinar los instru-mentos con los que cuentan los responsables del tratamiento de datos.

5. NORMAS Y CUESTIONES RELATIVAS A LAS MEDIDAS DE SEGURIDAD DE LOSDATOS, PREVISTAS EN EL RGPD

a) Evaluación del impacto relativa a la protección de datos (“EIPD”)De acuerdo con las “Directrices sobre la Evaluación de Impacto Relativa a la Protección de Datos(EIPD) y para Determinar si el Tratamiento entraña ‘probablemente un alto riesgo’ a efectos del Re-glamento (UE) 2016/679” adoptadas por el GT-29 (WP248 rev. 1)21, la EIPD tiene por objeto evaluar

20 DI PIZZO CHIACCHIO, Adrián. Op. cit, págs. 279-280.

21 Grupo “Protección de Datos” del artículo 29: WP248, rev.1 https://www.aepd.es/media/criterios/wp248rev01-


la necesidad y la proporcionalidad del tratamiento de determinados datos, a fin de gestionar el impactopara los derechos y libertades que entrañaría y de establecer medidas para el control de su desarrollo,determinando las formas de enfrentar los riesgos que surjan o, de ser el caso, postergar ciertos trata-mientos cuyos riesgos inherentes superen la capacidad del responsable, siendo esto último excepcional,por la necesidad del tratamiento de datos y su circulación, en diversas actividades y negocios.

DE LA PRADA ensaya una definición sucinta de la EIPD, como el análisis de riesgos en un sistemade gestión, producto o servicio de información utilizado en el tratamiento de datos personales, el cualse efectúa con el fin de adoptar medidas para eliminar, trasladar o atenuar el impacto producido porlos mismos22. En ese marco, debe entenderse el “impacto” como la afectación producida por la mate-rialización de una determinada amenaza, incidiendo en los derechos y libertades de los interesados.

En el considerando 84 del RGPD, se explica el deber del responsable de efectuar una EIPD, que evalúeel origen, la naturaleza, la particularidad y la gravedad de determinados riesgos, utilizando el resultadode tal estudio para determinar las medidas de seguridad a adoptar. Así, el considerando 90 señala lanecesidad de efectuar dicho análisis, de forma previa a efectuar del tratamiento de datos.

Es preciso señalar que la EIPD depende de lo hallado en el análisis de los riesgos existente en tornoal tratamiento, en sí mismos que, de acuerdo con DE LA PRADA23 incluye un estudio de elementostales como los activos relevantes para la organización (información, hardware o sistemas que tenganvalor); de las amenazas a las que podrían estar expuestos tales activos, y de las salvaguardas a las quepueda recurrir para repeler tales amenazas o su materialización, o mitigar el impacto del mismo.

Ahora bien, según el artículo 35 de la RGPD, la EIPD no es exigible para toda actividad de tratamiento,solo en aquellas con un alto riesgo para los derechos y libertades de los interesados, de acuerdo consu naturaleza, alcance, contexto o fines, acentuando tal necesidad si hay uso de nuevas tecnologías.Se aprecia la necesidad particular en casos como los listados, no exhaustivamente, en el numeral 2 dedicho artículo:

Evaluación sistemática y exhaustiva de aspectos personales, por medio de tratamiento auto-•matizado en elaboración de perfiles sobre los cuales se tomen decisiones con efectos jurídicospara las personas evaluadas, o que les afecten de forma similar.

Tratamiento a gran escala de categorías especiales de datos, o relativos a condenas e infrac-•ciones penales.

Observación sistemática a gran escala de una zona acceso al público.•

Asimismo, es conveniente considerar otros criterios complementarios más específicos que determi-narían tal necesidad, establecidas en las directrices del WP248, rev. 1, como el referido la realizaciónde evaluaciones sistemáticas de salud, rendimiento laboral o desenvolvimiento económico. Así tam-bién, propone el criterio referido a la toma decisiones con efecto jurídico sobre los interesados, a partirde la evaluación sistemática, y el de la posibilidad de combinaciones o asociaciones de datos prove-nientes de diversas operaciones, según pueda exceder la expectativa razonable del interesado sobre eltratamiento a realizar, como describen claramente LORENZO, PALMA y TRUJILLO24.

es.pdf. Consultado el 28 de febrero de 2019.

22 DE LA PRADA ESPINA, Diego. “Evaluación de Impacto de Protección de Datos ‘EIPD’”, en Protección de Datos,Responsabilidad Activa y Técnicas de Garantía, dirigido por Juan Pablo MURGA FERNÁNDEZ, María de los Án-geles FERNÁNDEZ SCAGLIUSI y Manuel ESPEJO LERDO DE TEJADA. Editorial Reus, S.A., Madrid, España,2018, pág. 481.

23 DE LA PRADA ESPINA, Diego. “Análisis y Gestión de Riesgos de los Tratamientos de Datos Personales”, en Pro-tección de Datos, Responsabilidad Activa y Técnicas de Garantía, dirigido por Juan Pablo MURGA FERNÁNDEZ,María de los Ángeles FERNÁNDEZ SCAGLIUSI y Manuel ESPEJO LERDO DE TEJADA. Editorial Reus, S.A.,Madrid, España, 2018, págs. 353-355.

24 LORENZO CABRERA, Sara, PALMA ORTIGOSA, Adrián y TRUJILLO CABRERA, Carlos. Op. cit., págs. 152-153.


Se observa que las situaciones que requieren de la elaboración de una EIPD, implican una magnitudo relevancia importante con la que se lleve a la práctica el tratamiento, que pueden apreciarse en doscriterios:

Relevancia cualitativa: Descrita como “sistemática, constante, estructurada”, con el propó-•sito de obtener un producto, pues de acuerdo con las “Directivas sobre Delegados de Protec-ción de Datos” del GT2925 y las directrices del WP248, rev. 1, la sistematización implica unplan general de recopilación y procesamiento, preestablecido y metódico.

Relevancia cuantitativa: Descrito con el término “gran escala”, que se entiende como el•tratamiento de datos de una gran cantidad de interesados, como sucedería con los sistemasde videovigilancia en zonas de gran afluencia de público. En el considerando 91 del RGPD,se toma como criterio de evaluación de magnitud o relevancia también a la circunscripcióngeográfica (regional, nacional o supranacional) y el factor temporal del tratamiento (el tiempoque se tiene previsto efectuar el tratamiento).

Al respecto, si bien el WP248, rev. 1 incluye como criterio para determinar la cantidad de datos dis-tintos que se toman de cada persona, consideramos que la primacía la tendrá el criterio de cantidad deinteresados, puesto que factores como un lugar o un lapso determinado, en sí mismos, tienden más aincidir en esta última cantidad que en la cantidad de datos de cada persona, lo cual queda a determi-nación del responsable del tratamiento, según la modalidad que elija; esta última situación se hacemás evidente en los casos en los que la observación sistemática requiere de homogeneidad de datos,o en el de la videovigilancia, en la cual la captación de datos es limitada.

Por su parte, el RGPD resalta también la necesidad de la EIPD en las circunstancias de uso de nuevastecnologías, sin que se repare en el ámbito geográfico de captación como indica DI PIZZO26, a fin deevitar que estas puedan rebasar la capacidad de las medidas a adoptar en un momento dado. Tal situa-ción implica un desafío consistente en la permanente observación de tales medidas y de la mismaEIPD, para la anticipación de los posibles riesgos, lo que colabora con el cumplimiento de la respon-sabilidad proactiva, e implicaría en los responsables la necesidad permanente de adaptaciones o ac-tualizaciones en compás con el avance tecnológico.

En concordancia con las finalidades de la RGPD, se resalta la especial necesidad de efectuar la EIPDpara tratamiento de categorías especiales de datos, como los relativos a la salud, por el incrementodel riesgo inherente que entraña tal tratamiento. Dicha necesidad, como ya se ha evidenciado, se in-tensifica cuando el tratamiento es realizado a gran escala y recurre al uso de nuevas tecnologías.

En el caso de CHBM, resulta necesaria la EIPD, considerando que su tratamiento consta de al menosdos de las características de dicha necesidad: El tratamiento de datos relativos a la salud, a gran escalapor su extensión geográfica (cobertura para cuatro municipios del distrito de Setúbal), la cantidad debeneficiados potenciales (213.000), la cantidad de camas y el tratamiento sistemático que implica laatención de la historia clínica de cada paciente. A dichas consideraciones se debe incluir también eluso de tecnologías como los sistemas SClínico y SONHO, sistemas integrados a la PDS que, final-mente, extiende la posibilidad de su tratamiento a nivel nacional, en el sector salud de Portugal.

Ahora bien, el contenido mínimo de la EIPD que deba realizarse en el CHBM, se determina en el nu-meral 7 del artículo 35 del RGPD, debiendo constar al menos de lo siguiente:

Descripción sistemática de las operaciones de tratamiento, sus fines e intereses legítimos.•

Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento, respecto•de sus fines.

Evaluación de los riesgos para los derechos y libertades, sopesando las amenazas para los•datos en contraste con las vulnerabilidades detectadas.

25 Grupo “Protección de Datos” del artículo 29: 16/EN WP-243http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf. Con-sultado el 28 de febrero de 2019.

26 DI PIZZO CHIACCHIO, Adrián. Op. cit, pág. 286.


Descripción de las medidas previstas para afrontar los riesgos y demostrar el cumplimiento•de las disposiciones del RGPD, de acuerdo con los activos con los que cuente la organiza-ción.

Tal recuento debe seguir una secuencia, que parte de la presunción de legitimidad del tratamiento,para luego determinar la funcionalidad del mismo al servicio de sus fines, y al tener conocidos losfactores de riesgo gracias al análisis previo de estos, detectar las vulnerabilidades y amenazas, asícomo los recursos y medidas previstas para actuar estructuradamente a fin de contrarrestarlas o mini-mizar los efectos nocivos, con lo que se puede calificar cuan manejable es el impacto que entrañaríael tratamiento.

En este punto, conviene remarcar que en caso de que al final de la evaluación se halle la posible insu-ficiencia para mitigar los riesgos, corresponderá formular a la CNPD la consulta previa al tratamiento,a fin de que esta le brinde asesoría con el fin de mitigar los riesgos inevitables, figura que se desarrollaen el artículo 36 del RGPD y sobre la cual se observa la toma de parte de las autoridades nacionalesde protección de datos en la prevención de desperfectos o brechas de seguridad, siendo necesario queen algún momento, dichas autoridades uniformicen sus criterios para las asesorías que les tocará brin-dar.

La EIPD, tomando en cuenta los criterios señalados y siguiendo el avance de las tecnologías de la in-formación, debe realizarse continuamente, alcanzando con ello la finalidad de actualizar las actividadesde tratamiento y poder ser permanentemente capaces de demostrar la aptitud para proteger los datospersonales tratados, beneficiando de tal manera la responsabilidad proactiva del CHBM.

Volviendo al escenario casuístico planteado, la CNPD sancionó al CHBM por no demostrar capacidadpara hacer frente a los mencionados riesgos, siendo que el contar con una EIPD es uno de los elementoscruciales para comprobar tal cualidad vinculada a la proactividad, toda vez que ofrece alcances certerosacerca de lo que el responsable del tratamiento realizará en caso de una situación riesgosa o de la con-creción de la misma, lo cual a su vez, repercute en su valor y reputación empresarial.

Ahora bien, para tal evaluación, el CHBM debe tomar en cuenta los riesgos que tiene al ser parte dela PDS, una plataforma muy difundida, así como hacer uso de sistemas de similar alcance el de lossistemas SONHO y SClínico, lo que implica una mayor exposición de datos de una categoría especial.Desde la evaluación de tal entorno, se tendrán las vulnerabilidades del tratamiento realizado, con locual se deberán estudiar las amenazas factibles y las salvaguardas o remedios a implementar ante ellos.

Siendo la EIPD uno de los elementos objetivos requeridos para preservar lícitamente el tratamientode los datos relativos a la salud de los pacientes del CHBM, debe tenerse en cuenta que en su elabo-ración se tiene la participación humana, al igual que en el control permanente del tratamiento de datosrealizado. Por ello, se debe continuar con el análisis de lo concerniente al Delegado de Protección deDatos, cuya actuación es requerida para nuestro caso, por los motivos que se estudiarán a continua-ción.

b) Designación del delegado de protección de datos (“DPD”)Con fundamento en su considerando 97, y con los antecedentes del artículo 18 de la Directiva 95/46(asignando la función del registro de modalidades de tratamiento y supervisión de cumplimiento) ydel artículo 24 del Reglamento (CE) N° 45/2000 (caso aplicable solo a instituciones comunitarias), elRGPD presenta el requisito de un agente que debe designarse en ciertos casos de tratamiento de datospersonales, que es el DPD.

Resulta necesario conocer la naturaleza de esta figura a través de sus funciones (listadas no exhausti-vamente en el artículo 39 de dicho reglamento), que pueden dividirse en tres tipos:

Funciones formativas y orientadoras: •

Informar y asesorar a los empleados de las responsables que realicen las actividades del tra-‣tamiento de datos sobre las obligaciones contempladas en el RGPD, tomando los recursospedagógicos convenientes.


Brindar el asesoramiento que se le solicite para decidir sobre la realización de la EIPD o sus‣resultados.

Funciones de contacto con la autoridad:•

Ser el nexo con la autoridad en cuestiones relativas al tratamiento, tales como la consulta‣previa.

Cooperar con la autoridad de control, en casos de inspecciones o procedimientos que aquella‣lleve con el responsable.

Atención de los requerimientos de la autoridad de control, como producto de alguno de‣los procedimientos señalados.

Función supervisora del cumplimiento interno:•

Supervisar el cumplimiento de las disposiciones del RGPD y disposiciones nacionales. ‣Supervisar el cumplimiento de políticas internas y códigos de conducta asumidos por‣el responsable.

Adoptar de medidas como la realización de auditorías, análisis de riesgos, gestión de‣los registros de actividades.

Brindar atención a las solicitudes de ejercicio de derechos.‣Un elemento común de todos los puntos de esta investigación es la atención a prestar a la naturaleza,el alcance, el contexto y los fines del tratamiento, no siendo la excepción de ello desempeño de lasfunciones del DPD, cuya responsabilidad debe desarrollarse reparando en tales variables y los riesgosque de ellas se deriven.

Resaltamos en el listado anterior labores que si bien no están en la literalidad del artículo 39 aludido,se vinculan a la función principal, debido a que el numeral 6 del artículo 38 habilita la apertura respectode las funciones que se pueden asignar al DPD, siempre que no den lugar a ningún conflicto de inte-reses, tomando en consideración que el RGPD no prevé la dedicación exclusiva en dicha labor, y quesirvan a los objetivos centrales que es el cumplimiento de las normas de protección de datos personales,así como dotar a la organización del poder de comprobar su capacidad para ejercer dicha protección,atendiendo al principio de responsabilidad proactiva ya estudiado.

Es útil la mención del conflicto de intereses, para comenzar a analizar el artículo 38 del RGPD, referidaa la posición y poderes del DPD en la organización. No hay temor a hacer alusión a dicho poder porqueel numeral 3 de dicho artículo menciona cualidades de gobierno interno autónomo de la organizaciónen lo que a la protección de datos concierne, como son la prescindencia de instrucciones para su de-sempeño, la rendición de cuentas solo ante el más alto nivel jerárquico del responsable y la estabilidadante despidos o destituciones por el desempeño normal de sus funciones, así como con el acceso atoda la información relevante respecto de la protección de datos que se tenga en la organización, comoseñala adecuadamente TOMÁS27.

Dicho grado de poder se apoya en el otorgamiento de recursos necesarios para su desempeño y per-manente capacitación, según señala el numeral 2 del artículo mencionado, implica también responsa-bilidades que se derivan de sus funciones, como ser el ente visible de la organización en cuanto a laprotección de datos, ante las autoridades, en el caso de procedimientos e inspecciones, ante los inte-resados, en los casos que reclamen el ejercicio de sus derechos y asegurando que estén siempre dis-puestos los canales para tal fin, y también ante el cliente interno, que son las dependencias que realicenel tratamiento de datos personales.

27 TOMÁS TOMÁS, Salvador. “El Reglamento Europeo de Protección de Datos. Delegados de Protección de Datos(DPD, DPO o Data Privacy Officer)”, en Protección de Datos, Responsabilidad Activa y Técnicas de Garantía, dirigidopor Juan Pablo MURGA FERNÁNDEZ, María de los Ángeles FERNÁNDEZ SCAGLIUSI y Manuel Espejo LERDODE TEJADA. Editorial Reus, S.A., Madrid, España, 2018, págs. 185-187.


¿Por qué incluir en nuestro estudio al DPD? Más allá del análisis de este rol, en nuestro caso resultade aplicación práctica. El artículo 37 del RGPD establece la obligación de designar a un DPD en si-tuaciones similares a las que hacen obligatoria la elaboración de una EIPD, tales como la observaciónhabitual y sistemática de interesados a gran escala (principalmente a cargo de entidades privadas), eltratamiento con esa misma relevancia cuantitativa de datos de categorías especiales, como los datosrelativos a salud, y cuando el tratamiento sea efectuado por un organismo público, escenarios más de-tallados en las “Directrices sobre los Delegados de Protección de Datos (‘DPD’)” adoptadas por elGT-29 (WP243).

De las mencionadas características, al menos dos son aplicables a las actividades del CHBM: El tra-tamiento a gran escala de datos de categoría especial, relativos a la salud, y su naturaleza de organismopúblico, responsable de dicho tratamiento.

Respecto de su naturaleza institucional pública, el CHBM podría estudiar la posibilidad de nombrarmás de un DPD, como se permite por medio del numeral 3 del mencionado artículo del RGPD, puestoque forma parte de un sistema de asistencia estatal que comparte información en la PDS y cubre solouna parte del distrito de Setúbal, posibilitándose que las autoridades distritales o nacionales de saludpuedan designar a un DPD no solo para los establecimientos del CHBM.

Al respecto, es adecuada la atingencia efectuada por TOMÁS, quien propone que el nombramientode un DPD sea común en el caso de responsables de tratamiento que estén en el mismo nivel jerárquico(horizontalidad) o cumplan funciones que no sean tan diferenciadas, conservando la capacidad depoder relacionarse con los órganos directivos de cada responsable28; tomando en consideración tambiénque la extensión geográfica de su ámbito de labores no dificulte su desempeño, asegurándose su dis-ponibilidad en cada establecimiento.

Sobre el tratamiento a gran escala, convendría tomar en cuenta la evaluación realizada en el subtítuloreferente a la EIPD, siendo útil para este caso, la ejemplificación realizada en el WP243 de dicho tra-tamiento, tomando como paradigma lo realizado sobre los datos relativos a la salud de un paciente,en el desarrollo normal de servicios asistenciales.

Dadas las funciones de gobierno y de pedagogía al interior de la organización, así como las de repre-sentación hacia el exterior con las que cuenta el DPD, el numeral 5 del artículo 37 del RGPD requiereque este agente sea elegido según sus cualidades profesionales, acentuando sus conocimientos espe-cializados del Derecho y la práctica en la materia de protección de datos, buscando que dichas capa-cidades se reflejen en el cumplimiento de las funciones del artículo 39 del RGPD.

Es importante la acentuación de los conocimientos en Derecho, puesto que sirven en el contacto conlas autoridades de control, en el manejo de los procedimientos ante ellas y en la atención a las recla-maciones de ejercicio de derechos de los interesados, así como en el cumplimiento de los principiosantes estudiados, en las actividades de tratamiento, y en la supervisión de la legitimidad de las mismas,sean actividades presentes o proyectadas, garantizando la capacidad permanente de velar por los de-rechos de los interesados.

Más bien, parece ensombrecida la necesidad de conocimiento en tecnologías y seguridad de la infor-mación que debería tener tal actor, detrás del genérico término “práctica en la materia de protecciónde datos”, dejando la necesidad de tal evaluación al criterio de responsable, según el uso de tecnologíao modalidad técnica del tratamiento de datos que efectúe, según señala el WP243, sugiriendo que lamayor complejidad y especialización del negocio en el que se desarrolla el tratamiento requerirán deuna mayor especialización y recursos disponibles para el DPD.

En el caso del CHBM, corresponde tomar en cuenta para la designación de su DPD el criterio de laexperiencia y conocimiento en protección de datos personales, a fin de implementar las medidas deseguridad necesarias para el tratamiento de los datos relativos a la salud de sus pacientes, debiendo

28 TOMÁS TOMÁS, Salvador. Op. cit, pág. 177.


tener un nivel de experiencia y conocimientos que se ajusten o puedan aplicarse a las actividades detratamiento de dicha clase de datos. Precisamente, este tipo de conocimiento implica una ventaja parasu intervención respecto de la EIPD, en la evaluación de su contenido y su aplicación, así como en laelección de las medidas de seguridad adecuadas para cada actividad de tratamiento.

c) Medidas de SeguridadComo se mencionó anteriormente, desde el considerando 39 del RGPD se establecen los bienes a pro-teger con el principio de seguridad y confidencialidad, el mismo que se desarrolla a través de la im-plementación de medidas de seguridad en el tratamiento de datos personales, obligación que seconcreta también con el artículo 32 del RGPD, conjuntamente con las normativas previamente estu-diadas.

Asimismo, en el caso del tratamiento de datos en el ámbito de la salud por parte de responsables por-tugueses, es útil prestar atención al artículo 4 de la Ley 12/2005, Ley de Información Genética Personaly de Información de Salud (“Ley 12/2005”) que establece la obligación general para los responsablesdel tratamiento de datos relativos a la salud, de tomar las providencias adecuadas para preservar suconfidencialidad, así como obligaciones específicas que se estudiarán más adelante29.

Dicho artículo tiene como punto de partida la obligación de implementar medidas de seguridad ade-cuadas para conjurar o mitigar los riesgos detectados. Para la adopción de medidas específicas, presentavariables a tomar en cuenta para tal decisión, algunas vinculadas a las capacidades económicas, lo-gísticas o tecnológicas del responsable, como el estado de la técnica y los costos; así como otras cuyanecesidad se desprende del tratamiento en sí mismo, como sus fines, el alcance y contexto del mismo,las amenazas, los riesgos de probabilidad de materialización de estas y su gravedad para los derechosy libertades de los interesados. Todos estos factores, al momento de decidir respecto de las medidasde seguridad a implementar, ya han sido calificados en la EIPD, siendo tal implementación conse-cuencia de esta última y de sus actualizaciones.

Ahora bien, así como se aprecian conjuntamente los factores determinantes de la elección de medidasde seguridad, es que su aplicación no debe darse de forma aislada, sino como una estructura coordinaday con vocación de permanencia, que pueda adaptar sus medios a los cambios por avance de la tecno-logía y por los incidentes de seguridad de la información, pudiendo determinar también los dispositivosnecesarios para la gobernanza en seguridad, sobre la organización, según lo señalado por ROMERO30.

29 “Ley 12/2005, de 26 de enero

Artículo 4.- Tratamiento de la información de salud

Los responsables del tratamiento de información de salud deben tomar las providencias adecuadas a la protección de suconfidencialidad, garantizando la seguridad de las instalaciones y equipamiento, el control de acceso a la información,bien con el refuerzo del deber de secreto y de la educación deontológica de los profesionales.

Las unidades del sistema de salud deben impedir el acceso indebido de terceros a los procesos clínicos y a los sistemas in-formáticos que contengan información de salud, incluyendo sus respectivas copias de respaldo, asegurando los nivelesde seguridad apropiados y cumpliendo las exigencias establecidas por la legislación que regula la protección de datospersonales, dirigida a evitar su destrucción, accidental o ilícita, la alteración, difusión o acceso no autorizado, o cualquierotra forma de tratamiento ilícito de la información.

La información de salud solo puede ser utilizada por el sistema de salud en las condiciones expresas en la autorización es-crita de su titular o de quien lo represente.

El acceso a la información puede, al haber sido anonimizada, ser autorizada para fines de investigación.

La gestión de los sistemas que organizan la información de salud debe garantizar la separación entre la información desalud y genética de las otras categorías de información personal, determinada a través de la definición de diversos ni-veles de acceso.

La gestión de los sistemas de información debe garantizar el procesamiento regular y frecuente de copias de respaldo dela información de salud, salvaguardando las garantías de confidencialidad establecidas por ley.”

30 ROMERO TERNERO, María del Carmen. “Seguridad de la Información”, en Protección de Datos, ResponsabilidadActiva y Técnicas de Garantía, dirigido por Juan Pablo MURGA FERNÁNDEZ, María de los Ángeles FERNÁNDEZSCAGLIUSI y Manuel Espejo LERDO DE TEJADA. Editorial Reus, S.A., Madrid, España, 2018, pág. 403.


Volviendo a lo tocante al artículo 32 del RGPD, este contempla dos clases de medidas de seguridadque conviene definir, a fin de poder distinguir sus alcances y funcionalidades:

Medidas técnicas: Consiste en el uso de dispositivos, programas, herramientas u otros ele-•mentos desarrollados en el entorno de los soportes automatizados o no automatizados que,sin intervenir en la conducta humana, puedan hacer frente a las situaciones que pueda pro-vocar, evitando consecuencias desfavorables derivadas de estas.

Este tipo de medidas puede subclasificarse en medidas físicas, consistentes en herramientasimplementadas sobre el soporte material de almacenamiento de datos, como los dispositivosde seguridad perimetral de los centros de datos; y en medidas lógicas, que son las aplicadasa través del software, como el cifrado, bloqueo de bases de datos, contraseñas, registros deinteracción lógica y controles de accesos, según detalla DEL PESO31, debiendo mencionarque actualmente, ciertas medidas de seguridad pueden ser físicas y lógicas.

Medidas organizativas: Se refiere con este concepto a disposiciones, documentos o direc-•trices con los que se busque establecer prácticas y conductas individuales y/o colectivas enlas personas, concernientes al manejo adecuado de datos personales en soportes automatiza-dos o no automatizados.

Como ejemplos de dichas medidas, CASTAÑEDA señala las políticas de seguridad, defini-ción de procedimientos, registros de incidencias, definiciones de responsabilidades32.

La implementación de las medidas de seguridad puede consistir en diversos dispositivos o accionesque sean consecuentes con los riesgos del tratamiento y las necesidades señaladas en el EIPD, comoya se apuntó, puesto que el artículo 32 de la RGPD no establece una lista exhaustiva ni obligatoria demedidas específicas. Esta apertura respecto de las medidas, beneficia al responsable al dejarle decidirde acuerdo con las evaluaciones sobre el tratamiento que realiza, siempre que sean suficientes paragarantizar la integridad y confidencialidad de los datos, pudiendo demostrar ello en cualquier mo-mento.

En opinión de LORENZO, PALMA y TRUJILLO existe una indefinición normativa de las medidasde seguridad, y que esta situación puede llevar a la incertidumbre sobre las medidas que elijan y sipor medio de ellas, cumplirían o no con lo dispuesto en el RGPD33. Al respecto, es preciso reiterarque el fin de la norma es la garantía de la integridad y confidencialidad de los datos, así como la com-probación de la capacidad del responsable para ello, no la aplicación de uno u otro mecanismo. Sedebe apreciar también que el artículo 32 no se remite a ninguna norma, como sucedía en España conel Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/1999 y reglamentos pree-xistentes, respecto de la Ley Orgánica 15/1999, como indica DEL PESO34.

No obstante, el artículo estudio no omite sugerir la adopción de ciertos procedimientos, conductas yel establecimiento cualidades como objetivo de los sistemas de seguridad, formando una lista no ce-rrada de ellos, en la que resulta notable la sucesión que forma, que se desprende de lo detallado a con-tinuación:

Seudonimización y cifrado: Es necesario reseñar estos dos procedimientos, en los siguientes tér-•minos:

31 DEL PESO NAVARRO, Emilio. “La Seguridad de la Información en la Ley de Protección de Datos de Carácter Per-sonal”, en XII Encuentros Sobre Informática y Derecho, coordinado por DÁVARA RODRÍGUEZ, Miguel Ángel.Aranzadi Editorial S.A., Navarra, España, 2000, págs. 47-48.

32 CASTAÑEDA GONZÁLEZ, Alberto. “Protección de Datos de Carácter Personal: Diez Pasos para la Plena Adecuacióna la LOPD y al Reglamento de Medidas de Seguridad”, en Derecho Tecnológico. Respuestas Legales a Nuevos Retos.Ediciones Experiencia, S.L., Barcelona, España, 2004, pág. 37.

33 LORENZO CABRERA, Sara, PALMA ORTIGOSA, Adrián y TRUJILLO CABRERA, Carlos. Op. Cit. Pág. 160.

34 DEL PESO NAVARRO, Emilio. Op. cit. pág. 51.


Seudonimización: Procedimiento que sustrae el vínculo o la atribución de un dato determi-‣nado a su interesado, imposibilitando su identificación por medio del uso de dicho dato deforma aislada, al haber sido codificado o sustituido por otro término. Puede ser reversible (adiferencia de la anonimización) por medios razonablemente utilizables, de acuerdo con latecnología y las fuentes de información que permitan la inferencia de la identidad.

Cifrado: Procedimiento consistente en la codificación de la información en un documento,‣cuya percepción o lectura solo es permitida a sujetos que cuentan con el mecanismo que per-mite acceder a la configuración original del dato, mecanismo que puede ser una clave deter-minada o un algoritmo.

Ambo s procedimientos tienen como objetivo básico evitar cualquier tipo de percepción e conocimientode los datos por parte de personas no autorizadas para el acceso a los datos, vale decir, evitar que estasconozcan la información que haga identificables a las personas, ocultando su verdadera “apariencia”detrás de otros términos o códigos, o enmascarándola a la vista de sujetos no autorizados para su ac-ceso, detrás de un dispositivo cuya desactivación solo puede realizarse por personas autorizadas.

Garantía de confidencialidad, integridad, disponibilidad y resiliencia permanentes de los•servicios de tratamiento: Se basa en los siguientes valores de seguridad de la información:

Disponibilidad: Capacidad de efectuar tratamiento autorizado de los datos siempre que se‣necesite.

Confidencialidad: Tratamiento restringido a las personas autorizadas para ello, evitando ac-‣cesos, difusión o reproducción de datos sin autorización que lo legitime.

Integridad: Inalterabilidad en cuanto a la cantidad y contenido de los datos, “que no sean ni‣menos, ni distintos de lo recopilado”; también consta de la necesidad de preservar el soportedonde se almacenan los datos.

Resiliencia: Capacidad de recuperación de sus soportes después de las afectaciones de las‣que pueda ser objeto.

Dichas cualidades son previsiones para el tratamiento ordinario que se efectúe en el presente y ante laeventualidad de un incidente, sobre el que debe prevalecer la continuidad e integridad de los datos.

Previsión de verificaciones y evaluaciones regulares sobre la eficacia de las medidas de segu-•ridad adoptadas: Refiere a la realización de auditorías y evaluaciones en general sobre las medidasde seguridad implementadas en un momento anterior, a fin de evaluar no solo su aptitud o efecti-vidad, sino la necesidad de su actualización según los recursos y activos de la entidad, o según losavances tecnológicos en el tratamiento de datos.

Como bien señalan LORENZO, PALMA y TRUJILLO35, estas evaluaciones deben dirigirse a lasmedidas de seguridad técnicas así como a las organizativas y, de acuerdo con la responsabilidadproactiva que demanda el RGPD, deben estar previstos en una política que contemple su realizaciónperiódica y de forma permanente, dejando atrás hábitos reactivos por los cuales solo se piense entales evaluaciones ante un incidente o brecha de seguridad. Acerca de la importancia y alcance de-seable de las evaluaciones, se pude trasladar lo indicado por VILLARINO respecto de las auditoríasen el entorno del cloud computing, la auditoría es general36, no se centra en ningún mecanismo deseguridad, y es una práctica sobre la cual debe vincularse al encargado de tratamiento.

Dicho documento de seguridad debe tener como finalidad la difusión de conductas con las que seproteja de los cuatro valores señalados (disponibilidad, confidencialidad, integridad y resiliencia),debiendo establecer obligaciones permanentes, pero con neutralidad en cuanto a las medidas de

35 LORENZO CABRERA, Sara, Adrián Palma Ortigosa y Carlos Trujillo Cabrera. Op. Cit. págs. 152-153.

36 VILLARINO MARZO, Jorge. La Privacidad en el Entorno del Cloud Computing. Editorial Reus S.A., Madrid, España,2018, pág. 192.


seguridad técnicas, a fin de no verse desbordado por el avance tecnológico. El mismo puede cons-tituirse como un código de conducta de grupos de empresas o sectorial, así como a través de loscontratos de encargo.

Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida•luego de un incidente físico o técnico: Esta disposición de seguridad está relacionada con la re-siliencia aplicada a los soportes en los que se almacenan los datos, ante cualquier incidente quesupere las capacidades de las medidas de seguridad técnica implementadas.

Sobre estas medidas de seguridad, se debe recordar que su objetivo es la preeminencia de la es-tructura de seguridad suficiente para mantener su normal funcionamiento, en caso de insuficienciade medidas preventivas o de detención de la amenaza, no solo con miras de preservar la continuidaddel negocio, sino principalmente para mantener la cualidad de atender adecuadamente los derechosde los interesados.

En esta parte de la investigación, es conveniente tener en cuenta nuevamente el artículo 4 de laLey 12/2005, que en sus numerales hace una enumeración de los procedimientos de seguridad arealizar con la finalidad de resguardar la confidencialidad de los datos relativos a la salud, que sonlos siguientes:

Medidas físicas de seguridad técnica: Seguridad de instalaciones y equipamiento, impedimento•de acceso a soportes que almacenan los datos y a sus copias de respaldo (back ups) generadas pe-riódicamente para la recuperación de los datos, en caso de una eventual afectación a su integridad.

Medidas lógicas de seguridad técnica: Controles de acceso a los sistemas SONHO, SClínico, y•a la PDS, así como al acceso a los datos relativos a la salud en sí mismos y a otros datos de los pa-cientes, estableciendo para ello distintos niveles de acceso, con lo cual se puede discriminar lascapacidades de acceso y de acción de los usuarios, restringiendo estas a lo necesario para cadauno, según su cargo.

Medidas organizativas: Implementaciones de deber de silencio o secreto, de documentación que•rija la adopción de medidas de seguridad y capacitaciones a su personal.

Conociendo la tipología de las medidas de seguridad, así como algunas de las específicas, se puededeterminar con más precisión las exigencias pendientes de cumplimiento por parte del CHBM sobreel tratamiento de los datos de sus pacientes, conociendo el alto grado de riesgo para sus derechos y li-bertades que conlleva su tratamiento.

6. DIAGNÓSTICO DEL CASO Y MEDIDAS A APLICAR

Como se ha visto en los subtítulos anteriores, las circunstancias del tratamiento de datos personalesque efectúa el CHBM obliga al nombramiento de un DPD, una cantidad suficiente considerando elno muy extendido ámbito geográfico de los dos hospitales cubiertos por dicha empresa estatal y sucircunscripción territorial, lo que impide que se de tratamiento a una cantidad exorbitante de datos.

Por su parte, se tiene en evidencia la obligatoriedad de llevar la EIPD, por razones similares a la ne-cesidad de designar un PDP, vinculadas a las particularidades del tratamiento de datos llevado a cabo,como la categoría especial de datos a los que se hace tratamiento (datos relativos a la salud) a gran es-cala, tomando en cuenta la gran cantidad de beneficiarios de la asistencia médica.

De acuerdo con los criterios que seguiría la EIPD acerca del tratamiento de datos efectuado en elCHBM, el tratamiento de los datos de pacientes conlleva un alto grado de riesgo. En tal sentido, comose aprecia en su caso, la vulnerabilidad del sistema de tratamiento de datos personales radica en lossiguientes aspectos:

Falta de identificación de perfiles de usuarios según actividades de tratamiento, al tener el trata-•miento de los pacientes también carácter administrativo, social y hasta económico.


Falta de determinación de capacidades de cada perfil de usuario, de acuerdo con sus funciones,•como consecuencia de su no identificación.

Carencia de trazabilidad de acciones de cada usuario, al no existir un registro de los actos efectua-•dos sobre los datos de un o unos determinados pacientes por parte del usuario que accede a lossistemas.

Necesidad de un documento de seguridad, con la generalidad suficiente para establecer medidas•de seguridad para cada actividad de tratamiento y para poder contemplar mayor variedad de me-didas de seguridad según las necesidades tecnológicas y administrativas que vaya surgiendo enadelante.

Para solucionar esos problemas primordiales con los recursos mencionados, el CHBM deberá comen-zar con la implementación de una primera gran medida de seguridad con influencia en su organización:La adopción de un documento de seguridad general, que establezca las actividades de tratamiento de-tectadas, así como el personal involucrado en el desarrollo de cada una de ellas, los tipos de datos quedeba asignarse a cada cual; así también, deberá reseñar la necesidad de restricciones de accesos a so-portes físicos de los datos (automatizados y no automatizados), que deben contemplar las medidas deseguridad física

En atención a dichas actividades de tratamiento, es que se puede documentar, en el mismo documentoo en uno aparte, la asignación de perfiles de usuarios tanto para el SOHNO como para el sistema SClí-nico, así como para el acceso a la PDS. En tal sentido, se tendrá en cuenta lo siguiente:

Atendiendo a la naturaleza administrativa del sistema SONHO, la asignación de perfiles para el•acceso a este se deberá dirigir al personal administrativo, restringiendo qué tipos de datos de cadapaciente puede tener, y qué funcionalidades de dicho sistema puede desarrollar. También puedeasignarse perfiles para este sistema al personal encargado de la asistencia social, a fin de atendercuestiones socioeconómicas de los pacientes.

Al ser el sistema SClínico destinado al tratamiento de los datos relativos a la salud del paciente,•es que debe asignarse su acceso a personal que desarrolle labores asistenciales médicas y terapéu-ticas, de acuerdo con los diversos rangos (técnico, profesional médico, profesional en salud comonutricionistas, anestesiólogos o tecnólogos médicos) y según la atención que brinde cada uno.

Las medidas de seguridad lógicas a aplicar a dichos sistemas, deben también extenderse a las ac-•tividades que impliquen el registro o acceso a los datos que se encuentren en la PDS, por significaresta plataforma una prolongación del tratamiento.

Un punto preponderante que debe atenderse es el concerniente a la regulación interna de la creaciónde estos perfiles, determinando qué órgano del CHBM la realiza y delimita sus capacidades o da debaja a los mismo; así también, se deberá determinar los procedimientos para dar de baja a estos perfiles,estableciendo quién lo hace, cuándo lo debe hacer y los requisitos para efectuar tal operación, siendoque los perfiles señalados no pueden tener los mismos alcances en cuanto al tratamiento de datos, sinoque el acceso a cada uno debe reducirse a lo necesario el fin de cada tratamiento específico.

En tal sentido, en el CHBM, deberían aplicarse tres variantes de perfiles de accesos, para cada uno delos dos sistemas y para la PDS, desde donde se comparte la información de sus pacientes. Por un lado,los accesos que se otorguen para el sistema SClínico requerirán accesos diferenciados para los profe-sionales y técnicos en salud, mientras que deberán otorgarse perfiles con alcances distintos para losprofesionales administrativos, con acceso a información no necesariamente relativa a la salud de lospacientes, sino a datos económicos o del entorno social, apta para el uso de los trabajadores sociales,por ejemplo.

Dichas medidas garantizan la minimización del tratamiento de datos personales al mínimo necesarioy pertinente para los fines que persigue cada actividad desarrollada por parte de las personas cuya ac-


tuación sea requerida estrictamente en razón de su cargo; lo cual encamina el cumplimiento de lo dis-puesto en el literal c) del artículo 5.1 del RGPD, referido al principio de minimización de datos.

Asimismo, más allá de las efectivas implementaciones, del caso estudiado se evidenció la necesidadde la revisión periódica de los perfiles, vale decir, la verificación de su actividad, si es necesario o nomantener un determinado perfil o las acciones para las que está autorizado, de acuerdo con los cambiosen los cargos. Dichas verificaciones deben realizarse conjuntamente con las revisiones generales dela totalidad de las medidas de seguridad aplicadas en la organización, también de forma periódica, si-guiendo los plazos que se establezcan en el documento correspondiente, a fin de proceder con su ac-tualización.

La carencia de tales verificaciones fue una de las cosas que permitió la subsistencia de perfiles activosque excedían la cantidad de profesionales médicos del CHBM, pudiendo ser muchos de tales perfilesvacíos, vale decir, sin que ningún personal lleve a cabo las funcionalidades permitidas a un perfil de-terminado. Por tal motivo, se hace necesario establecer un calendario de verificaciones de los perfilesque se asignen en cada sistema mencionado, como medida de aplicación general, contemplando tam-bién el procedimiento a seguir para la eliminación de perfiles vacíos o sin usuario en el personal, yasea producto de esta revisión general o a solicitud, por los movimientos de personal que pueda haber.

Teniendo como medida de seguridad organizacional central el mencionado documento de seguridad,es preciso señalar que una entidad como el CHBM deberá implementar documentos para cada uno delos hospitales que administra, ya que cada uno de ellos, de distinto tamaño y alcance de beneficiarios,pueden diferir en sus necesidades. Así también, el tratamiento de las distintas categorías de datos per-sonales requerirá directivas diferencias, atendiendo a los niveles distintos de sensibilidad de cada dato.

Ahora bien, la difusión de las disposiciones internas de seguridad no asegura en sí misma la correctaaplicación de las medidas concernientes, por lo que también es necesario efectuar actividades de ca-pacitación del personal respecto de tales medidas, acerca de su importancia, así como de lo valioso dela privacidad y confidencialidad, haciendo de ellas parte de la reglamentación laboral del CHBM.Todo ello, buscando homogeneizar los criterios de protección de la información que es objeto del tra-tamiento efectuando, e insertarlos permanentemente en la cultura organizacional, de acuerdo con losprincipios de la Privacidad desde el Diseño y la Privacidad por Defecto contemplados en el artículo25 del RGPD.

Tales disposiciones aplicadas al CHBM, contribuyen al cumplimiento del literal f) del artículo 5.1 delRGPD, referido al principio de Integridad y Confidencialidad, así como la cimentación de las dispo-siciones de los literales b) y d) del artículo 32.1 del RGPD. Asimismo, considerando que tales medidascorresponden a previsiones estructuradas para la protección permanente de la privacidad, pueden sa-tisfacer los requerimientos de la responsabilidad proactiva presente en el artículo 5.2 del mencionadoreglamento general, en tanto significan un recurso adecuado para la protección de datos permanente,proclive a comprobar la capacidad de dicha entidad para cumplir con las disposiciones del reglamento.

Para finalizar, es preciso sostener señalar que las medidas de seguridad a adoptar deben estar dotadastambién de neutralidad tecnológica, dejar un espacio en sus características para el cambio en concor-dancia con el avance tecnológico, sin perder de vista que las medidas organizativas debe tener previ-siones también para el tratamiento no automatizado de los datos de los pacientes, toda vez que dichaespecialidad de tratamiento también conlleva sus propios riesgos y amenazas, siendo igual de impor-tante porque más allá de su soporte, almacena los mismos tipos de datos, y posiblemente de la mismacantidad de pacientes.

Lo estudiando y expuesto en el presente artículo contiene solo algunos medios que podrían ser útilespara cumplir los principios de la RGPD, tendientes a la protección de los datos de los pacientes delCHBM, y en general de toda entidad pública y toda entidad dedicada a los servicios de salud.


BIBLIOGRAFÍA

ÁLVAREZ RIGAUDIAS, Cecilia•

2016. “Personal Data Protection”, en Derecho TIC. Derecho de las Tecnologías de la Información y de la•Comunicación. Tirant Lo Blanch, Valencia, España.

BALLESTEROS MOFFA, Luis Ángel•

2005. La Privacidad Electrónica. Internet en el Centro de Protección. Tirant Lo Blanch, Valencia, España.•

CASTRO CRUZATT, Karin•

2008. “El Derecho Fundamental a la Protección de Datos Personales: Aportes para su Desarrollo en el•Perú”, en Ius et Veritas, año 18, N° 37. Asociación Civil Ius et Veritas, Lima, Perú.

CAVOUKIAN, Ann•

2011. Privacy be Design. The 7 foundational principles. En https://www.ipc.on.ca/wp-content/uploads/Re-•sources/7foundationalprinciples.pdf

Consulta: 12 de febrero de 2019•

DÁVARA FERNÁNDEZ DE MARCOS, Isabel•

2011. Hacia la Estandarización de la Protección de Datos Personales. Editorial La Ley, Madrid, España.•

DÁVARA RODRÍGUEZ, Miguel Ángel•

2000. La Protección de Datos Personales en el Sector de las Telecomunicaciones. Universidad Pontificia•Comillas, Madrid, España.

DÁVARA RODRÍGUEZ, Miguel Ángel•

2015. Manual de Derecho Informático. Undécima edición. Editorial Aranzadi S.A., Navarra, España.•

DE LA PRADA ESPINA, Diego•

2018. “Análisis y Gestión de Riesgos de los Tratamientos de Datos Personales”, en Protección de Datos,•Responsabilidad Activa y Técnicas de Garantía, dirigido por Juan Pablo MURGA FERNÁNDEZ, Maríade los Ángeles FERNÁNDEZ SCAGLIUSI y Manuel ESPEJO LERDO DE TEJADA. Editorial Reus, S.A.,Madrid, España.

DE LA PRADA ESPINA, Diego•

2018. “Evaluación de Impacto de Protección de Datos ‘EIPD’”, en Protección de Datos, Responsabilidad•Activa y Técnicas de Garantía, dirigido por Juan Pablo MURGA FERNÁNDEZ, María de los ÁngelesFERNÁNDEZ SCAGLIUSI y Manuel ESPEJO LERDO DE TEJADA. Editorial Reus, S.A., Madrid, Es-paña.

DEL PESO NAVARRO, Emilio•

2000. “La Seguridad de la Información en la Ley de Protección de Datos de Carácter Personal”, en XIII•Encuentros sobre Informática y Derecho, coordinado por Miguel Ángel DÁVARA RODRÍGUEZ. EditorialAranzadi, S.A., Navarra, España.

DI PIZZO CHIACCHIO, Adrián•

2018. La Expansión del Derecho al Olvido Digital. Efectos de “Google Spain” y el Big Data e implicaciones•del Nuevo Reglamento Europeo de Protección de Datos. Editorial Atelier, Barcelona, España.

GUICHOT, Emilio•

2005. Datos Personales y Administración Pública. Thomson Civitas, S.L., Navarra, España.•

LLOYD, Ian J.•

2000. Information Technology Law. Butterworths, Londres, Reino Unido.•

LORENZO CABRERA, Sara, Adrián Palma Ortigosa y Carlos Trujillo Cabrera•

2018. “Responsabilidad Proactiva”, en Protección de Datos, Responsabilidad Activa y Técnicas de Garantía,•dirigido por Juan Pablo MURGA FERNÁNDEZ, María de los Ángeles FERNÁNDEZ SCAGLIUSI y Ma-nuel ESPEJO LERDO DE TEJADA. Editorial Reus, S.A., Madrid, España.


MENÉNDEZ MATO, José Carlos y María Eugenia Cayo Santa Cecilia•

2014. Derecho e Informática. Ética y Legislación. Librería Bosch, S.L., Madrid, España.•

MOLINA MATEOS, José María•

1994. Seguridad, Información y Poder. Incipit Editores, Madrid, España.•

MORANT RAMÓN, José Luis, Arturo Ribagorda Garnacho y Justo Sancho Rodríguez•

1994. Seguridad y Protección de la Información. Editorial Centro de Estudios Ramón Areces S.A., Madrid,•España.

PALMA ORTIGOSA, Adrián•

2018. “Principios Relativos al Tratamiento de Datos Personales”, en Protección de Datos, Responsabilidad•Activa y Técnicas de Garantía, dirigido por Juan Pablo MURGA FERNÁNDEZ, María de los ÁngelesFERNÁNDEZ SCAGLIUSI y Manuel ESPEJO LERDO DE TEJADA. Editorial Reus, S.A., Madrid, Es-paña.

PÉREZ LUÑO, Antonio-Enrique•

1996. Manual de Informática y Derecho. Editorial Ariel S.A., Barcelona, España.•

REMOLINA ANGARITA, Nelson•

2013. Tratamiento de datos personales. Aproximación internacional y comentarios a la Ley 1581 de 2012.•Legis Editores S.A., Bogotá, Colombia.

ROMERO TERNERO, María del Carmen•

2018. “Seguridad de la Información”, en Protección de Datos, Responsabilidad Activa y Técnicas de Ga-•rantía, dirigido por Juan Pablo MURGA FERNÁNDEZ, María de los Ángeles FERNÁNDEZ SCAGLIUSIy Manuel ESPEJO LERDO DE TEJADA. Editorial Reus, S.A., Madrid, España.

RODRIGUES, Roberto J., Petra WILSON y Stephen J. Schanz•

2001. The Regulation of Privacy and Data Protection in the Use of Electronic Health Information. Orga-•nización Panamericana de la Salud, Washington D.C., Estados Unidos de América.

TOMÁS TOMÁS, Salvador •

2018. “El Reglamento Europeo de Protección de Datos. Delegados de Protección de Datos (DPD, DPO o•Data Privacy Officer)”, en Protección de Datos, Responsabilidad Activa y Técnicas de Garantía, dirigidopor Juan Pablo MURGA FERNÁNDEZ, María de los Ángeles FERNÁNDEZ SCAGLIUSI y Manuel ES-PEJO LERDO DE TEJADA. Editorial Reus, S.A., Madrid, España.

TRUJILLO CABRERA, Carlos•

2018. “Las Bases de Legitimación del Tratamiento de Datos Personales. En Especial, el Consentimiento”,•en Protección de Datos, Responsabilidad Activa y Técnicas de Garantía, dirigido por Juan Pablo MURGAFERNÁNDEZ, María de los Ángeles FERNÁNDEZ SCAGLIUSI y Manuel ESPEJO LERDO DE TE-JADA. Editorial Reus, S.A., Madrid, España.

VILLARINO MARZO, Jorge•

2018. La Privacidad en el Ent orno del Cloud Computing. Editorial Reus, S.A., Madrid, España.•


(Segunda Época - Primer Semestre 2019 - Número 6€¦ · MÁSTER. YOSELIN VOS CASTRO . COMITÉ...

Documents

Transcript of (Segunda Época - Primer Semestre 2019 - Número 6€¦ · MÁSTER. YOSELIN VOS CASTRO . COMITÉ...