La protección y el tratamiento de los datos personales

El ámbito de protección del Reglamento se aplica al tratamiento total o parcialmente automatizado de los datos personales, así como al tratamiento no automatizado de los mismos que estén contenidos o destinados a un fichero de datos.

Hay una ampliación del marco territorial por parte del Reglamento, lo cual conlleva una garantía adicional para la ciudadanía europea (el Reglamento es aplicable a empresas que, hasta el momento, podrían estar tratando datos de personas en la Unión europea y se rigen por normativas de otros países o regiones no tan garantistas legalmente hablando). Se aplica, por lo tanto:

• A entidades responsables o encargadas del tratamiento de datos personales establecidas en la Unión europea (con independencia de que el tratamiento de dichos datos tenga o no tenga lugar en la Unión europea).
• A entidades responsables y encargadas no establecidas en la Unión europea siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanía de la Unión europea o como consecuencia de una monitorización y seguimiento de su comportamiento.

La Agencia Española de Protección de Datos.

La Agencia Española de Protección de Datos (AEPD) es una autoridad administrativa independiente de ámbito estatal con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones.

Corresponde a la AEPD supervisar la aplicación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y del Reglamento (UE) 2016/679, de 27 de abril y, en particular, ejercer las funciones establecidas en su artículo 57 y artículo 58, así como las establecidas en la Ley Orgánica mencionada y disposiciones de desarrollo. En concreto, en la web de la Agencia Española de Protección de Datos, se podrá consultar:

• En qué puede intervenir la AEPD.
• En qué no puede intervenir la AEPD.

La Presidencia de la AEPD la dirige, ostenta su representación y dicta sus resoluciones, circulares y directrices. Estará auxiliada por una Persona Adjunta en la que podrá delegar sus funciones, a excepción de las relacionadas con los procedimientos regulados por el título VIII de la Ley Orgánica 3/2018, y que la sustituirá en el ejercicio de las mismas. Ambas personas ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos a instrucción alguna en su desempeño. 

La Presidencia  de la AEPD estará asesorada por un Consejo Consultivo formado por los miembros indicados en el artículo 49 de la Ley Orgánica 3/2018. 

La AEPD publicará las resoluciones de su Presidencia:

• Que declaren haber lugar o no a la atención de los derechos reconocidos en el Reglamento (UE) 2016/679, de 27 de abril.
• Las que pongan fin a los procedimientos sancionadores y a los procedimientos de apercibimiento.
• Las que archiven las actuaciones previas de investigación.
• Las dictadas respecto de las entidades indicadas en el artículo 77.1 de la Ley Orgánica 3/2018.
• Las que impongan medidas cautelares.
• Las demás dispuesta por su Estatuto. 

El Consejo de Transparencia y Protección de Datos de Andalucía.

De acuerdo con el artículo 57 de la Ley Orgánica 3/2018, las autoridades autonómicas de protección de datos personales pueden ejercer las funciones y potestades establecidas en los artículos 57 y 58 del Reglamento (UE) 2016/679, de 27 de abril, de acuerdo con la normativa autonómica, cuando se refieran a:

• Tratamientos de los que sean responsables las entidades integrantes del sector público de la oportuna Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.
• Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materia que sean competencia de la correspondiente Administración autonómica o local.
• Tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos Estatutos de Autonomía. 

El Consejo de Transparencia y Protección de Datos de Andalucía es la autoridad independiente de control en materia de transparencia y protección de datos de la comunidad Autónoma de Andalucía, creado en virtud de la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía.

El Consejo tiene personalidad jurídica propia y plena autonomía e independencia en el ejercicio de sus funciones.

Dentro del área de protección de datos, el Consejo desempeña las siguientes funciones para la ciudadanía:

• Resolver las reclamaciones presentadas por incumplimiento de la normativa de Protección de Datos.
• Controlar y garantizar la aplicación de la normativa de Protección de Datos.
• Promover la cultura de la protección de datos personales.

Accediendo al área de protección de datos del Consejo, se podrá obtener información acerca de:

• Reclamaciones ante el Consejo por vulneración de la normativa de protección de datos personales (tanto por vulneración de los derechos en materia de protección de datos, como por otro tipo de vulneración de la mencionada normativa).
• Consulta de los Delegados y Delegadas de Protección de Datos (DPD).
• Comunicación de los Delegados y Delegadas de Protección de Datos (DPD).
• Violaciones de seguridad.
• Resoluciones sobre reclamaciones de protección de datos.
• Dictámenes más destacados en materia de protección de datos.

En la web del Consejo se pueden consultar un apartado de preguntas frecuentes dentro del área de protección de datos.

Algunos conceptos importantes.

• Datos personales. Toda información sobre una persona física identificada o identificable (persona interesada).
• Persona física identificable. Toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador (nombre, número de identificación, datos de localización, identificador en línea, uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social).
• Tratamiento de los datos personales. Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales (de manera automatizada o no), como: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión u otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
• Fichero. Todo conjunto estructurado de datos personales, accesible con arreglo a criterios determinados (centralizado, descentralizado o repartido de forma funcional o geográfica).
• Entidad responsable del tratamiento. Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto a otros, determine los fines y medios del tratamiento.
• Entidad encargada del tratamiento. Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta de la entidad responsable del tratamiento.
• Persona destinataria. Persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de una entidad tercera. No se considerarán personas destinatarias las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta.
• Entidad tercera. Persona física o jurídica, autoridad pública, servicio u organismo, distinto de la persona interesada, de la entidad responsable del tratamiento, de la entidad encargada del mismo y de las personas autorizadas para tratar los datos personales bajo la autoridad directa de la entidad responsable o encargada.
• Consentimiento de la persona interesada. Toda manifestación de voluntad libre, específica, informada e inequívoca por la que la persona interesada acepta (mediante declaración o clara acción afirmativa) el tratamiento de datos personales que le conciernen.

Los principios del tratamiento de los datos personales.

Los datos personales deberán ser:

• Tratados de manera lícita, leal y transparente con relación a la persona interesada.
• Recogidos con fines determinados, explícitos y legítimos (no siendo tratados posteriormente de manera incompatible con esos fines).
• Adecuados, pertinentes y limitados con relación a los fines para los que sean tratados.
• Exactos y, si fuera preciso, actualizados (adoptándose todas las medidas para su supresión o rectificación cuando sean inexactos con respecto a los fines para los que se tratan).
• Mantenidos de forma que se permita la identificación de las personas interesadas durante no más tiempo del necesario para los fines del tratamiento de los datos personales.
• Tratados de modo que se garantice una seguridad adecuada de los datos personales (protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental).

La entidad responsable del tratamiento de los datos personales deberá cumplir con el cumplimiento de los principios de dicho tratamiento.

El tratamiento de los datos personales sólo será lícito si se cumple, al menos, algo de lo establecido a continuación:

• La persona interesada dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
• Dicho tratamiento es necesario para la ejecución de un contrato en el que la persona interesada es parte o para aplicación de medidas precontractuales, a petición de aquélla.
• El tratamiento es necesario para el cumplimiento de una obligación legal aplicable a la entidad responsable del tratamiento.
• El tratamiento es necesario para proteger intereses vitales de la persona interesada o de otra persona física.
• El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la entidad responsable del tratamiento.
• El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por la entidad responsable o por una entidad tercera.
• Salvo excepciones establecidas en el Reglamento, se prohíbe el tratamiento de datos personales que revelen:

1. Origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas o afiliación sindical.
2. Datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos de salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.

El consentimiento para el tratamiento de datos personales.

Si el tratamiento de datos personales está fundamentado en el consentimiento de la persona interesada, la entidad responsable del mencionado tratamiento deberá ser capaz de demostrar que aquélla dio tal consentimiento (consentimiento verificable):

• Si el consentimiento se da en el contexto de una declaración escrita que se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal modo que se diferencie claramente de las restantes, de forma inteligible y de fácil acceso y utilizando lenguaje claro y sencillo (consentimiento inequívoco y explícito). Con el Reglamento en la mano, las prácticas de consentimiento tácito no serán aceptadas.
• La persona interesada tendrá derecho a retirar su consentimiento en cualquier momento (debiendo ser informada la persona interesada antes de dar su consentimiento). Será tan fácil dar el consentimiento como retirarlo.
• La edad en la que los niños y las niñas podrán prestar su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, en las redes sociales) será, como mínimo, 16 años (en España el límite se encuentra en los 14 años). Por debajo de esta edad, para que se traten los datos personales, será preciso el previo consentimiento de padres, madres o personas tutoras.

Los principios de protección de datos tenidos en cuenta en la Ley Orgánica 3/2018.

Teniendo en cuenta la Ley Orgánica 3/2018:

• Los datos que sean objeto de tratamiento serán exactos y, si fuera preciso, actualizados.
• Las entidades responsables y encargadas del tratamiento de datos estarán sujetas al deber de confidencialidad de los mismos, manteniéndose dicha confidencialidad aun cuando hubiera finalizado la relación de la persona obligada con las entidades mencionadas con anterioridad.
• Con respecto al consentimiento en el tratamiento de datos personales de la persona afectada, se entenderá por dicho consentimiento toda manifestación de voluntad libre, específica, informada e inequívoca por la que la persona afectada acepte (por medio de una declaración o de una clara acción afirmativa) el tratamiento  de los datos personales que le afecten.

1. Si se desea fundar el tratamiento de los datos personales en el consentimiento de la persona afectada para una pluralidad de finalidades, será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas esas finalidades.
2. No podrá supeditarse la ejecución de un contrato a que la persona afectada consienta el tratamiento de sus datos personales para finalidades que no guraden relación con el mantenimiento, desarrollo o control de la relación contractual.

• El tratamiento de los datos personales de una persona menor de edad solo podrá fundarse en su consentimiento cuando sea mayor de 14 años:

1. Excepto cuando se exija por ley la asistencia de las personas titulares de su patria potestad o tutela.
2. El tratamiento de los datos de personas menores de 14 años fundado en el consentimiento, solo será lícito si consta el consentimiento de la persona titular de la patria potestad o tutela.

• A fin de evitar situaciones discriminatorias, no será el solo consentimiento de la persona afectada para levantar la prohibición del tratamiento de datos cuya finalidad sea identificar su: ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. 

Cuando los datos personales sean obtenidos de la persona afectada, la entidad responsable del tratamiento podrá dar cumplimiento al deber de información que se establece en el Reglamento 2016/679, facilitando la información básica que deberá contener, al menos:

• La identidad de la entidad responsable del tratamiento y de su representante, en su caso.
• La finalidad del tratamiento.
• La posibilidad de ejercer los derechos establecidos en el Reglamento 2016/679.
• Indicándosele una dirección electrónica u otro medio que permita conocer de forma sencilla e inmediata a la restante información.

Si los datos obtenidos de la persona afectada fueran a ser tratados para la elaboración de perfiles, la información básica anterior comprenderá asimismo esta circunstancia. En este supuesto, la persona afectada deberá ser informada de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos sobre ella o le afecten significativamente de modo similar.

Cuando los datos personales no hubieran sido obtenidos de la persona afectada, la entidad responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el Reglamento 2016/679, facilitando a aquella la información básica que incluirá:

• La identidad de la entidad responsable del tratamiento y de su representante, en su caso.
• La finalidad del tratamiento.
• La posibilidad de ejercer los derechos establecidos en el Reglamento 2016/679.
• Las categorías de datos objeto de tratamiento.
• Las fuentes de las que procedieran los datos.
• Indicándosele una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante que se establece en el Reglamento 2016/679.

Si necesita información o asesoramiento en materia de consumo no dude en contactar con nosotros. Le recordamos que estamos a su disposición de forma gratuita y continuada a través del número de teléfono 900 21 50 80, del correo electrónico consumoresponde@juntadeandalucia.es, así como en nuestros perfiles de redes sociales o a través de esta misma página Web. Y si prefiere un servicio de atención presencial, puede acercarse a alguno de los Servicios Provinciales de Consumo, presentes en todas las capitales de provincia andaluzas.

Asimismo, podrá ampliar información en la web de la Agencia Española de Protección de Datos (AGPD).