La protección y el tratamiento de los datos personales

El ámbito de protección del Reglamento se aplica al tratamiento total o parcialmente automatizado de los datos personales, así como al tratamiento no automatizado de los mismos que estén contenidos o destinados a un fichero de datos.

Hay una ampliación del marco territorial por parte del Reglamento, lo cual conlleva una garantía adicional para la ciudadanía europea (el Reglamento es aplicable a empresas que, hasta el momento, podrían estar tratando datos de personas en la Unión europea y se rigen por normativas de otros países o regiones no tan garantistas legalmente hablando). Se aplica, por lo tanto:

• A entidades responsables o encargadas del tratamiento de datos personales establecidas en la Unión europea (con independencia de que el tratamiento de dichos datos tenga o no tenga lugar en la Unión europea).
• A entidades responsables y encargadas no establecidas en la Unión europea siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanía de la Unión europea o como consecuencia de una monitorización y seguimiento de su comportamiento.

La Agencia Española de Protección de Datos.

La Agencia Española de Protección de Datos (AEPD) es una autoridad administrativa independiente de ámbito estatal con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones.

La AEPD publicará las resoluciones de su Presidencia:

• Que declaren haber lugar o no a la atención de los derechos reconocidos en el Reglamento (UE) 2016/679, de 27 de abril.
• Las que pongan fin a los procedimientos sancionadores y a los procedimientos de apercibimiento.
• Las que archiven las actuaciones previas de investigación.
• Las dictadas respecto de las entidades indicadas en el artículo 77.1 de la Ley Orgánica 3/2018.
• Las que impongan medidas cautelares.
• Las demás dispuesta por su Estatuto. 

Corresponde a la AEPD supervisar la aplicación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y del Reglamento (UE) 2016/679, de 27 de abril y, en particular, ejercer las funciones establecidas en su artículo 57 y artículo 58, así como las establecidas en la Ley Orgánica mencionada y disposiciones de desarrollo. En concreto, en la web de la Agencia Española de Protección de Datos, se podrá consultar:

En qué casos interviene la Agencia Española de Protección de Datos.

• Protección de los derechos de acceso, rectificación, limitación, oposición, supresión (derecho al olvido), portabilidad y oposición al tratamiento de decisiones automatizadas. Cuando se interponga la reclamación sobre los derechos anteriores se debe interponer la reclamación, de manera previa, ante la entidad responsable. si la entidad no respondiera a la reclamación, o bien la respuesta ofrecida fuera insatisfactoria, ya se podrá presentar la reclamación ante la AEPD.
• La AEPD pone a disposición una serie de modelos para el ejercicio de los derechos en materia de protección de datos. Para más información o cualquier duda al respecto sobre los derechos en materia de protección de datos se puede acceder al contacto de la AEPD, al teléfono  900 293 183, o formulando consulta en la sede electrónica de la AEPD.
• En el supuesto de que se haya producido la inclusión en un sistema de información crediticia (fichero de morosidad), la AEPD podrá hacerse cargo siempre que, de manera previa, se ejerza por parte de la persona afectada el derecho de acceso, rectificación o supresión ante la entidad responsable del tratamiento de datos personales. Con ello, se podrá verificar que la entidad en cuestión no ha procedido a rectificar o suprimir los mencionados datos personales.
• Si existiera una controversia sobre la deuda, la AEPD podrá hacerse cargo si se hubiera presentado, de manera previa, una reclamación ante algún órgano que dicte resoluciones vinculantes (por ejemplo, una Junta Arbitral de Consumo o Tribunales de Justicia).
• Cuando la reclamación se refiera a un asunto cuya competencia corresponda, en el caso andaluz, al Consejo de Transparencia y Protección de Datos, se dará traslado desde la AEPD a dicho organismo.

En qué casos no interviene la Agencia Española de Protección de Datos.

En los siguientes supuestos no podrá entrar a intervenir la AEPD:

• Cuando se trate de tramitar reclamaciones sobre los derechos en materia de protección de datos si, de manera previa, la persona afectada no se hubiera dirigido a la entidad responsable del tratamiento de los datos o si, habiéndose dirigido a dicha entidad, no se ha esperado el plazo de que ésta disponer para responder la reclamación.
• No se pueden atender las reclamaciones en materia de vulneración de los derechos sobre datos personales si en tales reclamaciones no se especifica los motivos concretos de de las mismas, o bien no hay indicios para poder tramitar las mencionadas reclamaciones.
• Cuando se tuvieran discrepancias con el prestador de servicios sobre las tarifas contratadas, los servicios utilizados, los importes facturados o el procedimiento de devolución de equipos, así como si lo que solicitas es la devolución de un importe indebidamente cobrado.
• La simple existencia de cualquier controversia sobre la reclamación de una determinada deuda y/o sobre su inclusión en un fichero de solvencia patrimonial:

1. No supone, por sí misma, una vulneración de la normativa de protección de datos
2. No permite a la AEPD entrar a conocer del asunto.

En el caso de que exista una controversia sobre una determinada deuda:

1. Se podrá presentar ante la entidad acreedora una reclamación cuestionando la existencia de dicha deuda o su cuantía.
2. En el caso de no recibir respuesta o cuando la misma no te satisfaga, podrás someter la cuestión debatida al conocimiento de las Juntas Arbitrales de Consumo.

• En el caso de una deuda relacionada con una empresa de telecomunicaciones, se podrá presentar la reclamación ante la Oficina de Atención al Usuario de Telecomunicaciones,
• Si se trata de una empresa de energía, se podrá presentar la reclamación ante el órgano competente en materia de energía de la Comunidad Autónoma en cuyo territorio se efectúe el suministro (en Andalucía, la Consejería de Industria y Energía). Todo ello sin perjuicio de, en su caso, la posibilidad de hacer valer los derechos ante los Juzgados y Tribunales.
• En los dos supuestos anteriores, si bien formalizar una reclamación no suspende el recobro, si la misma está siendo tramitada, se podrá comunicar dicha circunstancia a la entidad acreedora para que, antes de que se resuelva la misma, se proceda a dar de baja, de manera cautelar, de los datos de la deuda de los ficheros específicos de solvencia patrimonial. Asimismo, si se obtiene una resolución anuladora o modificadora de la deuda, se podrá comunicar dicha circunstancia a la entidad acreedora para que actúe en consecuencia.
• Ante discrepancias con el prestador de servicios sobre cuestiones tales como:

1. Validez de los contratos.
2. Cláusulas contractuales.
3. Asuntos referentes a compromiso de permanencia, prescripción de la deuda contraída, fecha en que debió hacerse la solicitud de baja del servicio, o efectos del desistimiento.
4. Cláusulas abusivas no relacionadas con el tratamiento de los datos.
5. Publicidad engañosa.

• La petición de indemnizaciones relacionadas con el tratamiento de datos personales debe ser realizada a los Tribunales de Justicia.
• Cuando el tratamiento que se considere irregular no incluya datos personales sino sólo un número de teléfono, los datos de negocio o actividad en forma de sociedad empresarial.
• Cuando el tratamiento de datos personales no haya superado el ámbito puramente doméstico.
• Cuando quien sea afectada sea persona jurídica.
• Cuando se tenga una deuda con una determinada empresa, ésta puede contratar con una empresa de gestión de cobros que puede reclamar dicha deuda. Esta conducta es perfectamente legal, si se cumplen los oportunos requisitos establecidos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Cuando se produzca la cesión o compra-venta de deuda entre la persona acreedora y una entidad tercera, ya que ésta es una opción perfectamente legal, si se cumplen los oportunos requisitos establecidos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

El Consejo de Transparencia y Protección de Datos de Andalucía.

De acuerdo con el artículo 57 de la Ley Orgánica 3/2018, las autoridades autonómicas de protección de datos personales pueden ejercer las funciones y potestades establecidas en los artículos 57 y 58 del Reglamento (UE) 2016/679, de 27 de abril, de acuerdo con la normativa autonómica, cuando se refieran a:

• Tratamientos de los que sean responsables las entidades integrantes del sector público de la oportuna Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.
• Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materia que sean competencia de la correspondiente Administración autonómica o local.
• Tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos Estatutos de Autonomía. 

El Consejo de Transparencia y Protección de Datos de Andalucía es la autoridad independiente de control en materia de transparencia y protección de datos de la comunidad Autónoma de Andalucía, creado en virtud de la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía.

El Consejo tiene personalidad jurídica propia y plena autonomía e independencia en el ejercicio de sus funciones.

Dentro del área de protección de datos, el Consejo desempeña las siguientes funciones para la ciudadanía:

• Resolver las reclamaciones presentadas por incumplimiento de la normativa de Protección de Datos.
• Controlar y garantizar la aplicación de la normativa de Protección de Datos.
• Promover la cultura de la protección de datos personales.

Accediendo al área de protección de datos del Consejo, se podrá obtener información acerca de:

• Reclamaciones ante el Consejo por vulneración de la normativa de protección de datos personales (tanto por vulneración de los derechos en materia de protección de datos, como por otro tipo de vulneración de la mencionada normativa).
• Consulta de los Delegados y Delegadas de Protección de Datos (DPD).
• Comunicación de los Delegados y Delegadas de Protección de Datos (DPD).
• Violaciones de seguridad.
• Resoluciones sobre reclamaciones de protección de datos.
• Dictámenes más destacados en materia de protección de datos.

En la web del Consejo se pueden consultar un apartado de preguntas frecuentes dentro del área de protección de datos.

Algunos conceptos importantes.

• Datos personales. Toda información sobre una persona física identificada o identificable (persona interesada).
• Persona física identificable. Toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador (nombre, número de identificación, datos de localización, identificador en línea, uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social).
• Tratamiento de los datos personales. Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales (de manera automatizada o no), como: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión u otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
• Fichero. Todo conjunto estructurado de datos personales, accesible con arreglo a criterios determinados (centralizado, descentralizado o repartido de forma funcional o geográfica).
• Entidad responsable del tratamiento. Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto a otros, determine los fines y medios del tratamiento.
• Entidad encargada del tratamiento. Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta de la entidad responsable del tratamiento.
• Persona destinataria. Persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de una entidad tercera. No se considerarán personas destinatarias las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta.
• Entidad tercera. Persona física o jurídica, autoridad pública, servicio u organismo, distinto de la persona interesada, de la entidad responsable del tratamiento, de la entidad encargada del mismo y de las personas autorizadas para tratar los datos personales bajo la autoridad directa de la entidad responsable o encargada.
• Consentimiento de la persona interesada. Toda manifestación de voluntad libre, específica, informada e inequívoca por la que la persona interesada acepta (mediante declaración o clara acción afirmativa) el tratamiento de datos personales que le conciernen.

Los principios del tratamiento de los datos personales.

Los datos personales deberán ser:

• Tratados de manera lícita, leal y transparente con relación a la persona interesada.
• Recogidos con fines determinados, explícitos y legítimos (no siendo tratados posteriormente de manera incompatible con esos fines).
• Adecuados, pertinentes y limitados con relación a los fines para los que sean tratados.
• Exactos y, si fuera preciso, actualizados (adoptándose todas las medidas para su supresión o rectificación cuando sean inexactos con respecto a los fines para los que se tratan).
• Mantenidos de forma que se permita la identificación de las personas interesadas durante no más tiempo del necesario para los fines del tratamiento de los datos personales.
• Tratados de modo que se garantice una seguridad adecuada de los datos personales (protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental).

La entidad responsable del tratamiento de los datos personales deberá cumplir con el cumplimiento de los principios de dicho tratamiento.

El tratamiento de los datos personales sólo será lícito si se cumple, al menos, algo de lo establecido a continuación:

• La persona interesada dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
• Dicho tratamiento es necesario para la ejecución de un contrato en el que la persona interesada es parte o para aplicación de medidas precontractuales, a petición de aquélla.
• El tratamiento es necesario para el cumplimiento de una obligación legal aplicable a la entidad responsable del tratamiento.
• El tratamiento es necesario para proteger intereses vitales de la persona interesada o de otra persona física.
• El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la entidad responsable del tratamiento.
• El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por la entidad responsable o por una entidad tercera.
• Salvo excepciones establecidas en el Reglamento, se prohíbe el tratamiento de datos personales que revelen:

1. Origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas o afiliación sindical.
2. Datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos de salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.

El consentimiento para el tratamiento de datos personales.

Si el tratamiento de datos personales está fundamentado en el consentimiento de la persona interesada, la entidad responsable del mencionado tratamiento deberá ser capaz de demostrar que aquélla dio tal consentimiento (consentimiento verificable):

• Si el consentimiento se da en el contexto de una declaración escrita que se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal modo que se diferencie claramente de las restantes, de forma inteligible y de fácil acceso y utilizando lenguaje claro y sencillo (consentimiento inequívoco y explícito). Con el Reglamento en la mano, las prácticas de consentimiento tácito no serán aceptadas.
• La persona interesada tendrá derecho a retirar su consentimiento en cualquier momento (debiendo ser informada la persona interesada antes de dar su consentimiento). Será tan fácil dar el consentimiento como retirarlo.
• La edad en la que los niños y las niñas podrán prestar su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, en las redes sociales) será, como mínimo, 16 años (en España el límite se encuentra en los 14 años). Por debajo de esta edad, para que se traten los datos personales, será preciso el previo consentimiento de padres, madres o personas tutoras.

Los principios de protección de datos tenidos en cuenta en la Ley Orgánica 3/2018.

Teniendo en cuenta la Ley Orgánica 3/2018:

• Los datos que sean objeto de tratamiento serán exactos y, si fuera preciso, actualizados.
• Las entidades responsables y encargadas del tratamiento de datos estarán sujetas al deber de confidencialidad de los mismos, manteniéndose dicha confidencialidad aun cuando hubiera finalizado la relación de la persona obligada con las entidades mencionadas con anterioridad.
• Con respecto al consentimiento en el tratamiento de datos personales de la persona afectada, se entenderá por dicho consentimiento toda manifestación de voluntad libre, específica, informada e inequívoca por la que la persona afectada acepte (por medio de una declaración o de una clara acción afirmativa) el tratamiento  de los datos personales que le afecten.

1. Si se desea fundar el tratamiento de los datos personales en el consentimiento de la persona afectada para una pluralidad de finalidades, será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas esas finalidades.
2. No podrá supeditarse la ejecución de un contrato a que la persona afectada consienta el tratamiento de sus datos personales para finalidades que no guraden relación con el mantenimiento, desarrollo o control de la relación contractual.

• El tratamiento de los datos personales de una persona menor de edad solo podrá fundarse en su consentimiento cuando sea mayor de 14 años:

1. Excepto cuando se exija por ley la asistencia de las personas titulares de su patria potestad o tutela.
2. El tratamiento de los datos de personas menores de 14 años fundado en el consentimiento, solo será lícito si consta el consentimiento de la persona titular de la patria potestad o tutela.

• A fin de evitar situaciones discriminatorias, no será el solo consentimiento de la persona afectada para levantar la prohibición del tratamiento de datos cuya finalidad sea identificar su: ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. 

Cuando los datos personales sean obtenidos de la persona afectada, la entidad responsable del tratamiento podrá dar cumplimiento al deber de información que se establece en el Reglamento 2016/679, facilitando la información básica que deberá contener, al menos:

• La identidad de la entidad responsable del tratamiento y de su representante, en su caso.
• La finalidad del tratamiento.
• La posibilidad de ejercer los derechos establecidos en el Reglamento 2016/679.
• Indicándosele una dirección electrónica u otro medio que permita conocer de forma sencilla e inmediata a la restante información.

Si los datos obtenidos de la persona afectada fueran a ser tratados para la elaboración de perfiles, la información básica anterior comprenderá asimismo esta circunstancia. En este supuesto, la persona afectada deberá ser informada de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos sobre ella o le afecten significativamente de modo similar.

Cuando los datos personales no hubieran sido obtenidos de la persona afectada, la entidad responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el Reglamento 2016/679, facilitando a aquella la información básica que incluirá:

• La identidad de la entidad responsable del tratamiento y de su representante, en su caso.
• La finalidad del tratamiento.
• La posibilidad de ejercer los derechos establecidos en el Reglamento 2016/679.
• Las categorías de datos objeto de tratamiento.
• Las fuentes de las que procedieran los datos.
• Indicándosele una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante que se establece en el Reglamento 2016/679.

Si necesita información en materia de consumo no dude en contactar con nosotros. Le recordamos que estamos a su disposición de forma gratuita a través del número de teléfono 900 21 50 80, del correo electrónico consumoresponde@juntadeandalucia.es, en horario de atención de 8 a 20 horas de lunes a viernes y de 8 a 15 horas los sábados (salvo festivos), así como en nuestros perfiles de redes sociales o a través de esta misma página Web. Y si prefiere un servicio de atención presencial, puede acercarse a alguno de los Servicios Provinciales de Consumo, presentes en todas las capitales de provincia andaluzas.

Asimismo, podrá ampliar información en la web de la Agencia Española de Protección de Datos (AGPD).