Información general sobre protección de datos - Delegación de Protección de Datos GVA

INFORMACIÓN GENERAL EN PROTECCIÓN DE DATOS

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución Española. El Reglamento General de Protección de Datos pretende, con su eficacia directa sobre los Estados miembros de la Unión Europea, armonizar esta materia, de forma que no existan diferencias apreciables en la protección de los derechos de los ciudadanos.

A continuación, se expone una breve explicación de los principales aspectos que contiene la normativa reguladora de la protección de datos de carácter personal.

Definiciones:

1. Dato de carácter personal:

Un dato personal es cualquier información sobre una persona física identificada o identificable (la persona interesada).

Se tiene que considerar persona física identificable cualquier persona la identidad de la cual se puede determinar, directa o indirectamente, en particular mediante un identificador como, por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de esta persona. 

2. Tratamiento:

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexionado, limitación, supresión o destrucción;

3. Responsable del tratamiento:

La persona física o jurídica, la autoridad pública, el servicio u otro organismo que, solo o junto con otros, determino los hasta y medios del tratamiento.

En la Generalitat, cada consellería y entidad del sector público instrumental es responsable de los tratamientos de su organización.

4. Encargado del tratamiento o encargado:

La persona física o jurídica, la autoridad pública, el servicio u otro organismo que trato datos personales por cuenta del responsable del tratamiento.

La Dirección General de Tecnologías de la Información y las Comunicaciones (DGTIC), en el ejercicio de sus atribuciones, es la encargada de los tratamientos de datos personales que efectúan las consellerías y sus organismos autónomos como responsables.

Así mismo, serán encargadas todas aquellas entidades que, por medio de un contrato, encargo a medio propio, encargo de gestión o convenio tratan datos de carácter personal por cuenta de la administración del Consejo o su sector público instrumental.

Principios de actuación  general bajo los cuales tienen que actuar los responsables

La actuación de los responsables del tratamiento tiene que responder a los principios regulados en el artículo 5 del RGPD, y que se constituyen en auténticas obligaciones:

1. Principio de licitud:

Para dar cumplimiento a primeros de licitud, los responsables del tratamiento en la Generalitat podrán tratar datos de carácter personal si disponen de alguna de las siguientes bases de legitimación (artículo 6 del RGPD):

• Que tengan el consentimiento de la persona afectada para una o varias finalidades específicas (el consentimiento es de carácter excepcional en las administraciones públicas).
• Que sea necesario para ejecutar un contrato en que la persona interesada es parte, o para aplicar medidas precontractuales a petición de la persona interesada.
• Que sea necesario para cumplir una obligación legal del responsable del tratamiento.
• Que sea necesario para proteger intereses vitales de la persona interesada o de otra persona física.
• Que sea necesario para cumplir una misión realizada en interés público o en el ejercicio de poderes públicos otorgados a la persona responsable del tratamiento.

En el caso de tratamientos necesarios para el cumplimiento de una obligación legal (letra c) o de una misión realizada en interés público o en el ejercicio de poderes públicos (letra e), la base del tratamiento tiene que estar prevista por el derecho de la Unión o por el derecho del estado miembro que, en nuestro caso, tiene que ser una norma con rango de ley, tal como establece la Ley Orgánica 3/2018.

El tratamiento de categorías especiales de datos personales (datos genéticos, datos biométricos, de salud, datos relativos a la vida sexual o que revelan el origen étnico, racional, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical) solo está permitido en las circunstancias previstas en el artículo 9 RGPD.

2. Principio de transparencia:

Este principio tiene que aplicarse a lo largo de todo el proceso de tratamiento de los datos de carácter personal.

Los responsables tienen la obligación de informar las personas afectadas, tanto cuando los datos se recogen directamente de la persona interesada, como cuando no se recogen de esta (artículos 13 y 14 del RGPD), de los siguientes aspectos:  

• La identidad y los datos de contacto del responsable.
• Los datos del delegado/ada de protección de datos.
• Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
• Las personas destinatarias o las categorías de los datos personales de personas destinatarias, si es el caso.
• La intención de transferir los datos en un tercer país o a una organización internacional y la base para realizarlo.
• El plazo durante el cual se conservarán los datos.
• La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos a la persona interesada, y su rectificación y supresión, o la limitación de su tratamiento o a oponerse a este.
• El derecho a retirar en cualquier momento el consentimiento que se ha prestado.
• El derecho a presentar una reclamación ante una autoridad de control.
• Si la comunicación de datos es un requisito legal o contractual o un requisito necesario para subscribir un contrato
• La existencia de decisiones automatizadas, incluidas la lógica aplicada y sus consecuencias. 

En aquellos casos en que los datos no se hayan obtenido directamente de la persona interesada (artículo 14 del RGPD), se tendrá que informar, además, de la categoría de los datos y de la fuente de la cual proceden.

La información a las personas interesadas, tanto de respecto de las condiciones de los tratamientos que las afectan como en las respuestas a los ejercicios de derechos, se tiene que proporcionar de manera concisa, transparente, inteligible y de fácil acceso, en un lenguaje claro y sencillo.

3. Principio de minimización y proporcionalidad:

Los responsables recogerán únicamente aquellos datos que sean adecuadas, pertinentes y limitadas a las finalidades para los cuales son tratadas.

4. Principio de exactitud de los datos

Los datos tienen que estar actualizadas y ser exactos. Por este motivo, los responsables adoptarán todas las medidas razonables porque se supriman o rectifican sin más dilación aquellos datos que sean inexactos respecto a los fines para los cuales se tratan.

5. Principio de limitación en la conservación:

Los responsables tendrán que conservar los datos durante el tiempo necesario para los fines del tratamiento. Solo podrán conservarse durante periodos más largos con fines de archivo, interés público, investigación científica o histórica o hasta estadísticos.

6. Principio de seguridad e integridad:

Teniendo en cuenta el estado de la técnica, las cotas de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riegos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, los responsables aplicarán las medidas técnicas y adecuadas para garantizar un nivel de seguridad adecuado al riesgo. Las medidas de seguridad se corresponderán con las establecidas por el Real Decreto 3/2010, de 8 de enero, por el cual se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica.

El riesgo puede afectar la seguridad de la información, así como los  derechos y libertades de las personas afectadas. El análisis del riesgo requiere de una evaluación por tratamiento, que tendrá que hacerse a través de uno de los siguientes instrumentos: el análisis de riesgos o la evaluación de impacto (este último en caso de que el tratamiento comporto un alto riesgo).

7. Principio de confidencialidad:

Los responsables están sujetos al deber de confidencialidad. Esta obligación es complementaria al deber de secreto profesional. Estas obligaciones se mantendrán aunque haya finalizado la relación del obligado con el responsable.

8. Principio de responsabilidad proactiva:

Es principio que supone la obligación del responsable de cumplir los principios de protección de datos establecidos en el arte. 5.1 del RPGPD y la capacidad de demostrar este cumplimiento. Esto se traduce en el hecho que cada responsable tiene que determinar las medidas técnicas y organizativas necesarias para cumplir la normativa en materia de protección de datos, todo esto en función de los datos que tratan, las finalidades con las cuales lo hace, el tipo de operaciones de tratamiento que lleva a cabo y el riesgo asociado.

Las medidas técnicas y organizativas para proteger los datos de carácter personal se tienen que llevar a cabo desde el diseño y por defecto. Esto significa que:

• Las medidas de protección se establecerán en el mismo momento en el cual se determinan los medios del tratamiento.
• Las medidas garantizarán que solo se tratan los datos personales necesarios para la finalidad específica para la cual son tratadas.

Otras obligaciones de las personas responsables:

1. Registro de actividades de tratamiento

Los responsables tienen que llevar un Registro de las Actividades de Tratamiento (RAT) de su organización. Este registro tiene que contener, respecto de cada actividad, la información que establece el artículo 30 del RGPD:

• Nombre y datos de contacto de la entidad responsable y, si es el caso, la corresponsable, así como del Delegado/ada de Protección de Datos, si hay.
• Finalidades del tratamiento.
• Descripción de categorías de personas interesadas y categorías de datos personales tratados.
• Transferencias internacionales de datos.
• Cuando sea posible, plazos previstos para suprimir los datos.
• Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

2. Notificación de las violaciones de seguridad de los datos personales/brechas de datos personales

Los responsables tienen que notificar las violaciones de la seguridad de los datos personales que se produzcan a la autoridad de control. Esta notificación se realizará sin más dilación indebida y, si es posible, en un plazo máximo de 72 horas desde que tengan constancia, salvo que sea improbable que constituya un riesgo para los derechos y las libertades de las personas.

La notificación tendrá el contenido mínimo establecido en el artículo 33.3 del RGPD.

Se considera que existe constancia de una violación de la seguridad de los datos personales cuando hay certeza que  esta se ha producido y se tiene un conocimiento suficiente de su naturaleza y su alcance. 

En caso de que la notificación de alguno de los aspectos requeridos no se pueda hacer dentro de las 72 horas, se realizará posteriormente, acompañada de una explicación de los motivos que han ocasionado el retraso.

Además, cuando sea probable que la violación comporte un alto riesgo para los derechos de las personas interesadas, el responsable tendrá que comunicarlo a estas sin más dilación indebida y en un lenguaje claro y sencillo.

3. Elección y vinculación con el encargado del tratamiento

Los responsables tienen que seleccionar encargados que ofrezcan garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas, de forma que el tratamiento sea conforme al que se establece en el RGPD y en la Ley Orgánica 3/2018. 

Así mismo, tienen que subscribir con ellos el contrato o acto jurídico que se prevé en el artículo 28 del RGPD.

Obligaciones de los encargados:

El RGPD establece una serie de obligaciones propias para los encargados del tratamiento:

1. Mantener un Registro de Actividades  de Tratamiento (RAT).
2. Determinar las medidas de seguridad aplicables a los tratamientos que realizan.
3. Respetar el deber de confidencialidad.
4. Designar una persona delegada de protección de datos, en los casos en que así lo prevé el RGPD. 
5. Posibilidad de adherirse  a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos en el mismo RGPD.
6. En caso de que subcontratan operaciones de tratamiento, hay que elegir subencarregats que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de forma que el tratamiento sea conforme a los requisitos del RGPD y la Ley Orgánica 3/2018.

Derechos de las personas interesadas.

1. Derecho a la información

El RGPD configura en sus artículos 13 y 14 el derecho a la información como uno de los derechos de la persona interesada para garantizar la transparencia respecto al tratamiento de sus datos de carácter personal.

La información se tiene que facilitar de manera concisa, transparente, inteligible y accesible, con un lenguaje claro y sencillo, especialmente cuando la información se dirija a menores. Se tienen que evitar las fórmulas complicadas y con remisiones a textos legales.

Para mayor información, hay que consultar el apartado anterior denominado “principio de transparencia”.

2. Derecho de acceso, rectificación y oposición a los datos de carácter personal y derecho de supresión y limitación a los tratamientos de datos de carácter personal.

Cada uno de estos derechos, así como los límites a su ejercicio se encuentran regulados en los artículos 15 y ss. del RGPD y 13 y ss. de la Ley Orgánica 3/2018.

• Derecho de acceso: La persona interesada tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que lo afectan y, en este caso, derecho de acceso a los datos personales y a la siguiente información:
  • Las finalidades del tratamiento, las categorías de datos personales que se tratan y los destinatarios.
  • El plazo previsto de conservación de los datos personales o los criterios utilizados para determinarlo.
  • El derecho a solicitar la rectificación o supresión de los datos, la limitación del tratamiento o el derecho a oponerse.
  • El derecho a presentar una reclamación.
  • El origen de los datos, cuando no hayan sido facilitadas por tú.
  • La existencia de decisiones automatizadas, incluida la elaboración de perfiles, la lógica aplicada y las consecuencias de este tratamiento.
  • En caso de transferencias internacionales de datos, las garantías adecuadas que se ofrecen. ​
• Derecho de rectificación: La persona interesada tiene derecho a obtener, sin más dilación, la rectificación de sus datos personales inexactos. Según los fines del tratamiento, también tiene derecho al hecho que se completan los datos personales que sean incompletas, inclusivamente mediante una declaración adicional.
• Derecho de oposición: La persona interesada tiene derecho a oponerse al tratamiento de sus datos personales cuando el tratamiento se base en una misión realizada en interés público o en el ejercicio de poderes públicos. La oposición se tiene que fundamentar en motivos relacionados con su situación personal.
• Derecho de supresión (derecho al olvido): La persona interesada tiene derecho al hecho que la Administración proceda a la supresión de sus datos personales en los siguientes casos:
  • Cuando los datos ya no son necesarias para la finalidad para la cual se recogieron.
  • Si se revoca el consentimiento en el cual se basaba el tratamiento.
  • Cuando se oponga al tratamiento de sus datos personales y no prevalezcan otros motivos legítimos.
  • Los datos personales se hayan tratado ilícitamente.
  • Los datos se tengan que suprimir para cumplir una obligación legal.
• El derecho de limitación es un nuevo derecho en relación con la protección de datos, que presenta dos variantes: la suspensión del tratamiento y la conservación.

La persona interesada puede solicitar la suspensión del tratamiento de sus datos cuándo:​​​​​​​

• Impugno la exactitud de sus datos personales, durante un plazo que permita a la administración su verificación.
• Se haya opuesto al tratamiento de sus datos personales y la Administración esté valorando si aprecio su derecho.

La persona interesada puede solicitar la conservación de sus datos cuándo:

• El tratamiento sea ilícito y se haya opuesto a la supresión de los  datos.
• La Administración ya no necesito sus datos personales para los fines del tratamiento, pero la persona las necesito para la formulación, el ejercicio o la defensa de reclamaciones.

Es importante señalar que existen particularidades en la aplicación de estos derechos en el ámbito de la Administración sanitaria respecto a la historia clínica y respecto a los registros de la policía autonómica con fines relacionadas con infracciones y sanciones penales, que se rigen por la Ley Orgánica 7/2021, de 26 de mayo. Esta ley es más restrictiva en el ejercicio de estos derechos para evitar obstaculizaciones o interferencias en investigaciones de carácter penal.

3. Derecho a interponer reclamaciones

La persona interesada puede interponer una reclamación en caso de denegación del ejercicio de los derechos, o si entiende que su solicitud se ha desestimado porque no se ha dado respuesta dentro del plazo establecido. Así mismo, puede interponer una reclamación en aquellos casos en los cuales detecto cualquier posible infracción del que se dispone en la normativa en materia de protección de datos.

La reclamación se puede presentar previamente ante la Delegación de Protección de Datos de la Generalitat o directamente ante la Agencia Española de Protección de Datos (AEPD). En cualquier caso, ante la falta de contestación o la disconformidad con la decisión comunicada por la Delegación, se puede presentar reclamación ante la AEPD.

La Agencia Española de Protección de Datos:

La Agencia Española de Protección de Datos es una autoridad administrativa independiente de ámbito estatal con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones.

Corresponde a la Agencia Española de Protección de Datos supervisar la aplicación del RGPD y de la Ley Orgánica 3/2018, ofrecer asesoramiento experto en cuestiones relacionadas con la protección de datos y tramitan reclamaciones presentadas por el incumplimiento de la normativa reguladora de la protección de datos, así como por la falta de atención  del ejercicio de derechos.

Se pueden consultar de manera detallada sus funciones en los artículos 57 y 58 del RGPD, así como en los artículos 51 y ss. de la Ley Orgánica 3/2018.