1. Contextualizando el Big Data
¿Sabías que tu próximo movimiento ya ha sido predicho? ¿Sabías que tus gustos han sido destapados? ¿Sabías que con 150 likes Facebook puede conocerte tan bien como tu madre?
Estas cuestiones parecen más propias de una película de ciencia ficción. Sin embargo, están a la orden del día y la respuesta es clara: Big Data.
El Big Data es uno de los nuevos conceptos que están hoy en día de actualidad. Así, se trata de una tecnología de lectura y procesamiento masivo de datos que combinada con la estadística y el análisis de dichos datos, se puede, prácticamente, predecir el futuro.
Comencemos con unos ejemplos prácticos.
¿Eres usuario de Netflix?
Netflix es una de las plataformas denominadas Over The Top (OTT), o plataforma de transmisión libre que aportan gran flexibilidad al usuario otorgándole un nuevo poder: escoger qué ver dentro de un extenso catálogo de películas, series y documentales.
Actualmente, la plataforma cuenta con alrededor de 300 millones de usuarios, pero ¿quién decide el contenido que van a ver los usuarios?
Normalmente, es la compañía la que decide las series y películas que estarán disponibles para los clientes, pero esto no es siempre así.
De hecho, la serie House of Cards, producida por Netflix e incluida en 2013 entre los títulos disponibles en la plataforma, se creó a partir de las preferencias de los usuarios. Todos en Netflix tenían por seguro el éxito que la serie conllevaría y así en lugar de elaborar un primer programa piloto y analizar su impacto, rodaron los 13 capítulos de la primera temporada y los colgaron en la plataforma, constituyendo uno de los mayores éxitos de la empresa. Te podrás preguntar cómo se consiguió, la respuesta, una vez más: Big Data.
Netflix utilizó un algoritmo que analizaba grandes cantidades de información de sus usuarios. De ese modo, se concluyó que a los clientes les interesaban series con drama político, incluso sabían a qué personajes tenían que matar para mantener a los espectadores pegados a la pantalla hasta el final de la serie.
Es más, el Big Data se utilizó no solo para decidir el contenido de los capítulos, sino también para su distribución. A partir del análisis de datos se pudo observar que a los suscriptores les gusta hacer maratones de series los fines de semana. Por ello, la productora hizo disponibles, en su lanzamiento, los 13 capítulos de la primera temporada de la serie, en lugar de seguir la práctica habitual de subirlos progresivamente.
Pero este no es el único ejemplo de aplicación de la tecnología Big Data, esta técnica también se está aplicando al mundo de los deportes. Desde que el libro Moneyball mostrara cómo Billy Beane, director general de Oakland Athletics utilizaba estadísticas para encontrar jugadores de baseball que hicieran mejorar sus equipos, el mundo de los deportes vivió una revolución con respecto al uso de datos.
Así ha ocurrido en la NBA, que permite utilizar datos para reconocer buenos jugadores, al tiempo que utiliza las estadísticas para comprobar los mejores tiros de cada jugador.
Este es el ejemplo de lo ocurrido con Stephen Curry, jugador del equipo de baloncesto de la NBA Golden State Warriors. Stephen Curry había sido conocido a lo largo de su carrera como el penúltimo tirador de triples. Pero el Big Data mostró que el promedio de acierto de Curry apenas variaba al retirarse de la línea de tiro, que está a 24 pies de distancia de la canasta, hasta una distancia de entre 28 o 30 pies. En definitiva, la analítica de datos demostró que recurrir a los tiros triples llevaba al equipo a ganar más puntos que los tiros de dos puntos que se realizan cerca de la canasta. Como resultado, los entrenadores han empezado a animar a sus jugadores a que realicen tiros triples. Esto no es una simple teoría, sino que se produce en la práctica. De este modo, mientras que en 2012 la media de tiros triples que un equipo realizaba era de 18,4; en 2017 los equipos realizaban 27 tiros triples.
Como hemos podido observar a partir de los casos planteados, la tecnología del Big Data puede suponer una ventaja considerable en ciertos aspectos, pero ¿qué es realmente el Big Data? Además de eso, debemos preguntarnos qué tipos de datos son accesibles para esta tecnología y, en definitiva, para las empresas que analizan los datos. ¿Estamos haciendo disponibles demasiados datos de tipo personal? ¿Existe algún tipo de protección desde el punto de vista jurídico de esos datos?
Es más para los analistas geopolíticos y geoeconómicos el Big Data se ha convertido en una cuestión fundamental. Así, OLIER señala que “la ley de la escasez, con las complejidades de la globalización, toma hoy formas muy diversas. No se trata únicamente de la lucha por los recursos, sino que se adentra en los equilibrios geopolíticos actuales que encierran un modelo nuevo de guerra económica que busca el predominio tecnológico y el dominio de los mercados, a la vez que trata de proteger los sistemas productivos propios; con una nueva dimensión que se da en Internet, que demuestra la importancia de los datos y la lucha por poseer el dominio sobre ellos. Ya no es la informática, son los datos y su análisis con complejos algoritmos los queda o quitan poder y, en consecuencia, los que determinan lo que es escaso y lo que no lo es”[1].
Finalmente, algunos ya hablan del dataísmo como una nueva religión, como una tecnorreligión. Así, el dataísmo interpreta a toda la especie humana como un único sistema de procesamiento de datos en el que los individuos hacen las veces de chips. De este modo, el valor supremo de la religión dataísta es el “flujo de información” [2].
Así las cosas, el presente trabajo tiene por objeto no solo explicar en qué consiste el Big Data, sino también exponer de manera sencilla cuáles son sus principales características y los riesgos que supone desde una aproximación a la normativa de protección de datos personales a raíz de la efectiva entrada en vigor el pasado 25 de mayo de 2018 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD” o el “Reglamento”) y de la muy reciente aprobación Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, la «LOPD18«). Y es que el derecho digital tiene mucho que decir al respecto.
2. Aproximación al Big Data
2.1. Un poco de historia
Actualmente, términos como Big Data, inteligencia artificial y robótica están en boca de todos, pero antes de aprender los conceptos debemos estudiar primero cuál es el origen de los mismos.
En este sentido, puede afirmarse que está en la idiosincrasia del ser humano el almacenaje de datos. En efecto, durante siglos el ser humano ha tratado de almacenar, primero lo físico y ahora lo digital. El objetivo siempre ha sido similar: almacenamos con el propósito de organizar nuestros recursos y optimizar la forma en la que accedemos a ellos[3].
De este modo, el primer hito de almacenamiento de datos se produce hace más de 20.000 años cuando nuestros antepasados pintaban los techos de las cuevas en las que vivían no solo para recordar eventos sino también como base de la narrativa que permitió transmitir sus historias a las siguientes generaciones.
En consecuencia y para evitar la tendencia a olvidar, inherente a la naturaleza humana, hemos buscado mecanismos para guardar lo que nos interesa y poder recuperarlo más tarde, curiosamente utilizando formas similares las que usa nuestro propio cerebro, para almacenar y recuperar información.
En igual sentido, no debemos obviar un hecho tan relevante como la aparición de la escritura. Esta fue cambiando de soporte hasta que encontró en el papel su medio natural, y que ha sido fundamental para almacenar y preservar desde nuestros pensamientos hasta los sucesos que acontecieron.
Finalmente, es con el desarrollo de la informática comenzado a mediados del siglo XX cuando se produjo una auténtica revolución en la forma de almacenar datos.
2.2. Conceptos básicos
A fin de entender una tecnología tan importante como el Big Data lo primero que tenemos que hacer es asentar una serie de conceptos básicos[4], a saber:
🔵Dato: a la hora de definir el dato podemos hacerlo de dos maneras:
🔘Información sobre algo concreto que permite su conocimiento exacto o sirve para deducir las consecuencias derivadas de un hecho.
🔘Información dispuesta de manera adecuada para su tratamiento por una computadora.
🔵Big Data: también pueden aportarse dos definiciones:
🔘 Desde la perspectiva del tamaño de los datos, puede definirse como una cantidad tan grande de datos que no caben en una sola máquina, que se producen de una forma muy rápida y que, en ocasiones, también es necesario procesarlos e interpretarlos en tiempo real.
🔘 Desde la perspectiva puramente tecnológica, puede definirse como un conjunto de tecnologías y procesos que están permitiendo capturar y almacenar cantidades ingentes de datos de diversos orígenes y tipologías, siendo la base tanto de la digitalización masiva del mundo analógico, como del almacenamiento de los propios datos generados en el mundo digital.
🔵Analítica: esa ingente cantidad de datos del Big Data se traduce en información gracias a la analítica que, por ende, puede definirse como los procesos matemáticos y estadísticos que permiten convertir los datos, provenientes o no del Big Data, en información práctica.
🔵Algoritmo: es el conjunto de reglas que, aplicada sistemáticamente a unos datos de entrada apropiados, resuelven un problema en un numero finito de pasos elementales.
Así, un algoritmo podría ser una receta de cocina o las instrucciones para fabricar un avión de papel a partir de un folio. En efecto, los algoritmos tienen una entrada (input) y una salida (output), entre ambas están las instrucciones: la entrada podría ser la carne picada, el tomate, las láminas de pasta y la salida la lasaña perfectamente gratinada.
🔵Inteligencia Artificial: consiste en la simulación en un entorno de computación de los diferentes procesos que definen la inteligencia humana, así como otros que pueden mejorarla o incluso extenderla con nuevas capacidades.
Así las cosas, es cierto que entre los siglos XIX y XX existieron, en el campo de las matemáticas, importantes profesionales que destacaron en el desarrollo del cálculo y del álgebra matricial. Sin embargo, no fue hasta la llegada de la informática cuando se pudo extraer el verdadero potencial de los datos que se almacenaban. Es más, el principal uso de los primeros computadores fue precisamente éste, el almacenamiento y la interpretación de los datos. Posteriormente, además de capturar los datos, almacenarlos y extraer la información práctica de ellos, estos datos se utilizarían para automatizar procesos y así mejorar nuestra eficiencia y productividad. Todo lo cual dio lugar al nacimiento de la Inteligencia Artificial, que tiene el objetivo último de optimizar nuestro tiempo.
2.3. Las Vs del Big Data
De manera muy gráfica, los expertos en Big Data consideran que esta tecnología se caracteriza a través de cinco Vs[5]:
🔵Volumen: no existe una cantidad de datos a partir de la cual se considere Big Data. Sin embargo, podríamos decir que el volumen de datos que maneja esta técnica sería de muchos Terabytes o
Imaginemos, por ejemplo, los datos de actividad de una empresa. El volumen de los datos que una empresa de tamaño mediano utiliza oscila y puede alcanzar cientos de Gigabytes. Esa información, por tanto, no se considera Big Data. De hecho, una empresa que almacene esta cantidad de datos no utiliza la tecnología Big Data.
Sí se utiliza, en cambio, por empresas muy grandes, por ejemplo, de comercio electrónico o por entidades financieras que generan enormes cantidades de datos.
🔵Velocidad: los datos utilizados en Big Data se trabajan a mayor velocidad que los trabajados en bases de datos tradicionales.
De ese modo, el Big Data se ocupa de datos que se generan en tiempo real, o incluso a velocidad superior de un dato por segundo.
Un ejemplo de ello son las transacciones que se llevan a cabo en la Bolsa de Nueva York en un día, donde las operaciones se realizan en menos de un nanosegundo.
De igual forma, Internet se ha convertido sin duda en el mayor motor de generación de contenidos y, por ende, en el gran generador de datos a gran velocidad. Así, en un minuto se envían más de 2.000 millones de e-mails, se realizan más de cuatro millones de búsquedas en Google o se suben una media de 300 horas de vídeo a YouTube.
🔵Variedad: si alguna vez has trabajado con una base de datos podrás comprobar que, en su mayoría, los datos que contiene son texto y números, a menudo relacionados entre sí en una base de datos relacional.
En el caso del Big Data no se trabaja solo con textos y números, sino que lo datos son más variados. De ese modo, el Big Data trabaja con fotografías, vídeos, audio, series de datos temporales, y muchos otros tipos de datos, debiendo tenerse en cuenta que a menudo estos datos son no estructurados como puede ocurrir por ejemplo con el contenido que se genera en un blog, o en Twitter[6]. En este sentido, no hay más que ver todos los datos que se generan en un minuto en Internet.
🔵Veracidad: se trata de la integridad de los datos. Estos datos y, en definitiva, la información será más veraz siempre y cuando el programa que registre los datos no esté comprometido. Partiendo de esta premisa, sí podremos afirmar que a mayor información, más fácil resultará que la misma pueda ser verificada como información veraz.
Ello no obstante, debido a la infoxicación que se vive hoy en día así como a la dificultad existente de contrastar las fuentes y de curar dicha información, conviene siempre andar con cuidado a fin de no ser manipulados con noticias falsas o fake news que puedan contaminar nuestras bases de datos.
🔵Valor: el valor del Big Data está unido a la ventaja que podamos obtener de los datos, además del propio valor que los datos poseen.
Sin embargo, el verdadero valor del Big Data radica en la conversión de los datos a información práctica a través de la analítica.
De este modo, si se utiliza correctamente esta tecnología, las empresas podrían conocer mejor a sus clientes, optimizar procesos, ofrecerles publicidad asociada a sus gustos, en definitiva, mejorar la competitividad.
Es aquí donde se puede entender claramente por qué se considera a los datos como el petróleo del siglo XXI pues resulta claro que el Big Data sería el equivalente a la extracción de la materia prima mientras que la analítica (esto es, la aplicación de algoritmos sobre los datos) supondría la acción de refinar esos datos a fin de darles un valor añadido en el mercado, constituyendo muchas veces, además, el paso previo para la creación de una inteligencia artificial.
2.4. Elementos fundamentales del Big Data
Junto con los datos, la tecnología Big Data requiere de tres elementos fundamentales para asegurar que dispondrá de la capacidad suficiente para proveer los servicios[7]:
🔵Sistema de almacenamiento: este sistema es la infraestructura, física y lógica, necesaria para almacenar de manera eficiente las enormes cantidades de datos que sirven de fuente para el Big Data.
No solo la cantidad es importante, también lo es la velocidad de estos sistemas. Una vez más, no nos sirven las estructuras de los sistemas tradicionales de almacenamiento.
Comenzando por el hardware, se desarrollaron nuevas formas de estructura para conseguir el almacenamiento utilizando muchos servidores con poca capacidad de forma individual; pero con enorme capacidad de forma conjunta.
El software tradicional tampoco servía para los fines del Big Data, por ello se crearon nuevos gestores de datos como puede ser Hadoop.
🔵Sistema de procesamiento: resulta necesario extraer información inteligente a partir del Big Data, por ello no solo debemos ser capaces de almacenar los datos, sino también de realizar cálculos y operaciones matemáticas partiendo de los mismos.
🔵Sistema de comunicación: este último sistema es clave para el efectivo funcionamiento y utilidad de los otros dos anteriores. Y es que, tanto para poder almacenar datos, como para poder acceder a ellos, resulta necesario una infraestructura de red.
2.5. Principales aplicaciones de la analítica de datos
Una de las claves del Big Data es la utilización de la analítica y la estadística. Gracias a su uso podemos interpretar la cantidad ingente de datos, obtener información y, en definitiva, sacarle provecho para que sea utilizada en nuestro favor.
La analítica trata de ahondar en los datos para así encontrarles un sentido e interpretarlos. A partir del análisis de dichos datos podemos comprender cuestiones que eran desconocidas. Somos capaces de conocer la situación de un determinado elemento (imaginemos, las ventas de una compañía), también podremos conocer las razones por las que sucede, así como predecir el futuro más cercano, a partir de los datos, para prepararnos y anticipar decisiones.
Todo ello ha generado la proliferación de nuevos profesionales que ahora se requieren para interpretar los datos (Data scientist) así como para adoptar decisiones estratégicas con respecto a los mismos (Chief Data Officer).
Las aplicaciones de la analítica, en una empresa, se dan en multitud de áreas. De hecho, la analítica se puede aplicar prácticamente a todos los departamentos de una compañía, con independencia de su sector o rama de actividad. Por ejemplo, se pueden aplicar a las ventas, marketing, experiencia de clientes, riesgo financiero, y muchas más.
De entre todas, podemos decir que en el área de experiencia del cliente la analítica está jugando un papel más importante. Así, en la actualidad y gracias al Big Data podemos conocer a cada cliente de manera individual, entendiendo más allá de una compra aislada y haciendo proyecciones al futuro, además de descubrir patrones de comportamiento de los clientes.
Ahora bien, las empresas no son las únicas que se pueden beneficiar de esta tecnología, sino también los particulares. Pensemos por ejemplo en los datos recogidos por nuestros dispositivos wearables como un reloj inteligente que mide tus constantes vitales, entre otras cosas. También es gracias al Big Data, que a partir de datos de salud conseguidos por medio de medidores puede conseguir el diagnóstico precoz de enfermedades.
2.6. Los errores más habituales en relación con el Big Data
Para concluir esta aproximación al Big Data queremos advertir de los errores más habituales al hablar de esta disciplina[8]. Así:
🔵Big Data solo son más datos: esto no es cierto. El Big Data es mucho más; el Big Data es un cambio de paradigma con consecuencias en varios niveles: empresarial, individual, incluso al nivel de la administración.
🔵Las bases de datos tradicionales son suficientes para el Big Data: tampoco es cierto ya que las bases tradicionales están optimizadas y preparada para datos estructurados mientras que, en un Big Data los datos no están estructurados sino distribuidos.
🔵La analítica predictiva permite predecir el futuro: la analítica trata de predecir, pero no de predecir un único futuro, sino múltiples posibles futuros. Es decir, genera posibles escenarios de situaciones que se pueden o no producir, con una probabilidad mayor o menor.
🔵La inteligencia artificial no está relacionada con el Big Data: más bien todo lo contrario. El Big Data es uno de los grandes habilitadores de la actual explosión de inteligencia artificial.
Así, el concepto de Inteligencia Artificial consiste en que son las máquinas las que aprenden, con o sin interacción del ser humano.
En este caso sería el Big Data el que alimenta a la máquina con respecto a los contenidos que debe aprender.
De este modo, el surgimiento de la Inteligencia Artificial se produce gracias a la combinación de varios elementos: el primero de ellos el Big Data que, como hemos dicho, constituye el contenido que la máquina observa y adopta, aprendiendo de ellos; en segundo lugar, el aumento de la velocidad de computación, pues es necesario que la máquina aprenda rápidamente; y la existencia de algoritmos que simulan el funcionamiento de un cerebro humano dentro de una máquina.
🔵La inteligencia artificial es solo ciencia ficción: es cierto que las inteligencias artificiales que existen hoy en día no son todavía como la Skynet de la película Terminator. Pero tampoco es solo ciencia ficción pues como decía JULIO VERNE “lo que un hombre es capaz de imaginar, otros son capaces de realizar”.
3. El impacto de la normativa de Protección de Datos en el Big Data
3.1. La protección de datos personales como derecho fundamental
Como hemos podido ver, la analítica a partir del Big Data ofrece numerosas ventajas para empresas, particulares y administraciones, pues interpreta una cantidad ingente de datos.
Sin embargo, como particulares también nos enfrentamos a riesgos, ¿estamos exponiendo nuestros datos sin control?, ¿nos permitimos asumir un uso legítimo de esos datos, sin preguntarnos qué fin se le va a dar?
En respuesta a estas preguntas, como consecuencia del avance en las tecnologías, y con el objetivo de proteger a los ciudadanos surge en el seno de la Unión Europea las normas para la protección de datos personales, materializado en el RGPD.
Ahora bien, lo primero que se ha de tener en cuenta es que la protección de las personas físicas, en relación con el tratamiento de datos personales, se concibe en la UE como un derecho fundamental.
Así, el art. 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea y el art. 16.1 de Tratado de Funcionamiento de la Unión Europea (en adelante, “TFUE”) establecen que toda persona tiene derecho a la protección de datos de carácter personal que le conciernan.
En la misma línea, en nuestro país la protección de datos de carácter personal deriva del art. 18 de la Constitución Española de 1978 (en adelante, “CE)”. Dicho artículo está contenido en la Sección 1ª, del Capítulo II, del Título I de la CE, ostentando la consideración de derecho fundamental. De ese modo, se garantiza en nuestro país el derecho al honor, a la intimidad personal y familiar y a la propia imagen. A su vez, añade el apartado 4 del art. 18 CE, “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de lo ciudadanos y el pleno ejercicio de sus derechos”.
Esta doble capa de protección ha derivado también en la aprobación de normativa sobre la materia tanto a nivel europeo como a nivel interno.
Así, en el seno de la Unión Europea se publicó en mayo de 2016 el RGPD, reglamento este que no ha estado plenamente operativo hasta el pasado 25 de mayo de 2018 y que ha supuesto el cambio más significativo en la legislación de protección de datos de la Unión Europea desde el año 1995.
Al desarrollarse dicha materia por medio de un Reglamento, a este se le asocian los siguientes efectos: tiene alcance general, es obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro (art. 288, TFUE). Es decir, no se requiere un acto de trasposición por parte de los Estados miembros para implementar las disposiciones que el RGPD establece.
Por su parte, en España el hecho de tener atribuida la protección como derecho fundamental implica, entre otras cuestiones, la regulación de los mismos mediante Ley Orgánica. De este modo, previamente a la aprobación del Reglamento, se aplicaba en España la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal, norma que sigue en vigor en tanto en cuanto no entre en colisión con el RGPD.
De hecho, esta Ley Orgánica adaptó nuestro ordenamiento a las disposiciones de la Directiva 95/46/CE, del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos.
Así, y como dice el Considerando 3º del RGPD, la Directiva mencionada trataba de armonizar la protección de los derechos y libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal, así como que garantizaba la libre circulación de estos datos entre los Estados miembros.
Sin embargo, debido al aumento de flujos transfronterizos de datos personales en el territorio de la Unión, junto con la rápida evolución tecnológica y la globalización plantearon nuevos retos para la protección de datos personales que debían ser abordados.
Estos avances, entre los que se encuentra la utilización de Big Data para servir a fines tanto públicos como privados, requerían un marco más sólido y coherente para la protección de datos en la Unión Europea, junto con una ejecución más estricta de las normas (Considerando 7º RGPD).
Estas razones, junto con la idea de reforzar una seguridad jurídica para las personas físicas, fueron inspiradoras para la elaboración del RGPD.
Asimismo, no se debe obviar que a nivel nacional, por una parte, se ha aprobado en nuestro país un Real Decreto-ley para adaptar la normativa española al régimen europeo, en todos aquellos aspectos que, por no tratarse de derechos fundamentales, no requieren la aprobación de una Ley Orgánica (se trata del Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos); y por otra parte, se acaba aprobar la LOPD18, norma que además de derogar la antigua Ley Orgánica 15/1999, tiene como principal objetivo complementar y aclarar los preceptos del RGPD buscando otorgar las mayores garantías a los derechos digitales.
En cualquier caso, nuestro análisis se va a centrar en las principales disposiciones del RGPD[9].
3.2. Definiciones
Una de las grandes fortalezas del RGPD es la de facilitar definiciones razonablemente claras de los principales conceptos a tener en cuenta en materia de protección de datos de carácter personal.
De las mismas, creemos oportuno destacar las siguientes:
🔵Datos personales: toda información sobre una persona física identificada o identificable (“el interesado”).
Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador online o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona (art. 4.1 RGPD).
🔵Interesado: una persona física identificada o identificable sobre la que los datos personales se están tratando (art. 4.1 RGPD).
🔵Responsable de tratamiento (controller): la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales; cuando los fines y medios del tratamiento son establecidos por las leyes de la Unión Europea o de un Estado miembro de la UE, el responsable del tratamiento o los criterios específicos para su nombramiento, podrán ser establecidos por la legislación de la Unión Europea o del Estado miembro de la UE (art. 4.7 RGPD).
🔵Encargado del tratamiento (processor): La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento (art. 4.8 RGPD).
🔵Destinatario: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero (art. 4.9 RGPD).
🔵Tercero: la persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable de tratamiento, del encargado de tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado (art. 4.10 RGPD).
🔵Delegado de protección de datos (Data Protection Officer o DPO): constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.
🔵Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción (art. 4.2 RGPD).
🔵Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física (art. 4.4 RGPD).
🔵Consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen (art. 4.11 RGPD).
3.3. Ámbito de aplicación
El RGPD ha tenido un impacto significativo en todas las compañías que, de una forma u otra, se encuentran implicadas en el tratamiento de datos personales resultando de aplicación, incluso, a multitud de entidades localizadas fuera de la Unión.
De este modo, el RGPD se aplica al tratamiento de datos personales automatizados o que forman parte de un fichero o sistema.
Adicionalmente, tenemos que tener en cuenta una doble perspectiva en lo que se refiere a su ámbito de aplicación (arts. 2-3 RGPD), a saber:
🔵Ámbito subjetivo:
🔘El RGPD se aplica a ambos, a los responsables y a los encargados de tratamiento.
🔘El RGPD no se aplica a un número limitado de áreas, tales como el tratamiento de actividades exclusivamente personales o domésticas.
🔵Ámbito territorial: especial relevancia tiene el ámbito territorial de aplicación del RGPD pues sus disposiciones se aplicarán al tratamiento de datos en el contexto de un establecimiento en la UE, así como por un responsable o encargado del tratamiento que no esté establecido en la UE siempre y cuando los interesados se encuentren el territorio de la Unión.
Esta última aplicación del RGPD será únicamente cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a los interesados, o bien el control de su comportamiento.
3.4. Bases legales para el tratamiento de datos
De acuerdo con lo dispuesto en los arts. 6-8 del RGPD, las bases legales para el tratamiento de datos personales bajo el RGPD son:
🔵Cuando el interesado dé su consentimiento.
🔵Y cuando el tratamiento sea necesario:
🔘Para la ejecución o la negociación de un contrato con el interesado.
🔘Para cumplir con una obligación legal.
🔘Para proteger los intereses vitales del interesado o de otra persona cuando el interesado sea incapaz de dar su consentimiento.
🔘Para el cumplimiento de una misión realizada en interés público o en el ejercicio de poder público.
🔘Para la satisfacción de los intereses legítimos (pero sujetos a los derechos y libertades fundamentales).
Por otra parte, se han establecido en el RGPD nuevas restricciones sobre el consentimiento, el tratamiento basado en “intereses legítimos” y, el tratamiento para finalidades adicionales:
🔵Para el tratamiento basado en el consentimiento, el responsable debe ser capaz de demostrar que el consentimiento ha sido dado libremente por el interesado, y la solicitud de consentimiento debe ser claramente perceptible.
🔵El RGPD clarifica cuando el “interés legítimo” puede ser utilizado como base para el tratamiento (por ejemplo, el marketing directo, la prevención del fraude, el intercambio de datos personales dentro de un grupo de empresas para la administración interna, seguridad de la red y la seguridad de la información) y requiere que el responsable informe al interesado cuando el tratamiento se base en el interés legítimo.
🔵 El RGPD proporciona una lista de criterios que deben considerarse para determinar si el tratamiento de datos para una nueva finalidad es compatible con la finalidad original para la que se recogieron los datos.
3.5. Derechos de los interesados
Uno de los pilares en los que se sostiene el RGPD es en el de los derechos del interesado regulados en los arts. 12-17 y 19-21. Así, con el RGPD los clásicos derechos ARCO (acceso, rectificación, cancelación y oposición) se mantienen (evolucionados como ahora veremos), obligando eso sí a los responsables de tratamiento a ser más transparentes con los interesados.
En este contexto, el RGPD fija su atención sobre las notificaciones de información. En efecto, los individuos deben recibir información acerca de cómo se tratarán sus datos personales, incluyendo los detalles relativos a:
🔵La identidad del responsable e información de contacto.
🔵Cualquier delegado de protección de datos.
🔵Las finalidades y bases legales para su tratamiento.
🔵Cualquier “interés legítimo” que sea la base del tratamiento.
🔵Cualquier transferencia internacional y garantías aplicables.
🔵El período de retención o los criterios para su determinación.
🔵El derecho a la portabilidad de datos y los derechos de oposición al tratamiento, de requerir la limitación y de retirar el consentimiento al tratamiento.
🔵El derecho a reclamar ante una autoridad de control.
🔵Y cualquier requisito legal o contractual para proporcionar datos, así como las consecuencias de no proporcionarlos.
Por otra parte, la información debe de ser concisa, transparente e inequívoca, en una forma fácilmente accesible y con un lenguaje claro y sencillo, en particular cuando vaya dirigida a niños.
Además, cuando los datos personales sean obtenidos directamente, el responsable debe indicar qué información es obligatoria y las consecuencias de no proporcionarla.
De igual modo, cuando los datos personales sean obtenidos indirectamente, el responsable debe proporcionar la fuente de la información, incluyendo las fuentes accesibles al público.
Asimismo, y como advertíamos con anterioridad el RGPD contiene una versión evolucionada de los derechos ARCO. Así, el RGPD se refiere a lo siguiente:
🔵Derecho de acceso: los interesados tienen derecho a obtener copias de sus datos personales, junto con los detalles principales sobre cómo se tratan los datos. Los interesados han visto aumentados los derechos de acceso a sus datos:
🔘Los responsables ya no pueden cobrar una tarifa, pero pueden imponer un canon razonable por las copias adicionales.
🔘Se deben dar detalles de las transferencias internacionales, los periodos de retención, los derechos de rectificación, supresión, limitación de tratamiento; y los derechos de oposición al tratamiento y de presentar una reclamación ante una autoridad de control.
🔘Los responsables deben revelar cualquier fuente de datos, la importancia y las consecuencias de cualquier tratamiento basado en decisiones automatizadas.
🔵Derecho de rectificación: los interesados tienen el derecho a exigir la rectificación de sus datos personales, sin dilaciones indebidas y el derecho a completar los datos personales que sean incompletos.
🔵Derecho al olvido: reconocido inicialmente por la jurisprudencia europea, el RGPD concede expresamente el derecho a suprimir los datos personales cuando el tratamiento ya no sea necesario, el consentimiento sea revocado, los intereses legítimos ya no sean aplicables, el tratamiento sea ilegal, o la supresión se requiera por ley, y el responsable debe dar los pasos razonables para informar a otros responsables si ha hecho públicos dichos datos.
🔵Limitación: se trata del derecho a impedir tratamientos adicionales de datos personales cuando haya un conflicto en cuanto a su exactitud, cuando una oposición al tratamiento haya sido verificada, cuando el tratamiento sea ilegal y el interesado se oponga a la supresión, o cuando los datos ya no sean requeridos por el responsable, pero el interesado los requiera para la formulación, el ejercicio o la defensa de reclamaciones.
🔵Derecho a la portabilidad: consiste en el derecho a exigir que los datos proporcionados por los interesados para su tratamiento con su consentimiento o bajo contrato puedan proporcionarse en una forma de “uso común y lectura por equipos y maquinas” y transmitirse a otro responsable.
En este sentido, no debe olvidarse que si analizamos el nombre completo del RGPD, este no solo tiene por objeto la protección de datos sino también la libre circulación de dichos datos, por lo que el derecho a la portabilidad resulta fundamental.
🔵El responsable debe notificar a los destinatarios sobre cualquier rectificación, supresión y limitación salvo que le sea imposible o exija un esfuerzo desproporcionado. Además, si así lo solicita, el responsable debe comunicar a los interesados la identidad de los destinatarios.
3.6. Mecanismos de gobierno y rendición de cuentas
En los arts. 24-25, 32, 35, 37, 40 y 42 del RGPD encontramos reflejadas interesantes novedades en relación con los mecanismos de gobierno y la rendición de cuentas en materia de protección de datos de carácter personal.
Así, en primer lugar, el RGPD obliga a los responsables a implementar programas para garantizar el cumplimiento del RGPD y poderlo demostrar ante las autoridades de control e interesados.
En este sentido, los responsables deben implementar las medidas técnicas y organizativas adecuadas, pudiendo incluir:
🔵La implementación de políticas de protección de datos.
🔵La adhesión a códigos de conducta.
🔵La adhesión a mecanismos de certificación.
Por otra parte, se establece la obligación de implementar la protección de datos por diseño (privacy by design) y por defecto (privacy by default) de suerte que los responsables deben implementar las medidas técnicas y organizativas adecuadas, diseñadas para implementar los principios de protección de datos, ambas en el momento de determinar los medios de tratamiento así como durante el tratamiento en sí.
De este modo, resulta tener en cuenta las siguientes técnicas de tratamiento de datos:
🔵Seudonimización de datos: técnica de tratamiento de los datos personales, de forma que no se pueda reconocer la identidad de una persona sin utilizar información adicional.
🔵Minimización de datos: por defecto, solo deben ser tratados los datos personales necesarios para la finalidad específica.
Además, se impone la obligación de implementar una evaluación de impacto de protección de datos (Privacy Impact Assessment). En efecto, antes de que el tratamiento se efectúe, los responsables deben realizar una evaluación de impacto de las actividades que supongan riesgos importantes para los derechos de los interesados (por ejemplo, las decisiones basadas en el tratamiento automatizado o la elaboración de perfiles, el tratamiento a gran escala de datos sensibles y la observación sistemática a gran escala de una zona de acceso público).
De igual modo, se crea la figura del delegado de protección de datos, debiendo nombrarse obligatoriamente uno bajo determinadas condiciones. Así:
🔵Los responsables y encargados deben designar un delegado de protección de datos (DPO) si sus actividades principales requieren una observación habitual y sistemática de interesados a gran escala (Big Data), o el tratamiento de datos sensibles a gran escala. Las autoridades u organismos públicos también han de designar un DPO.
🔵El nombramiento voluntario de un DPO es posible y, la legislación nacional puede exigir la designación de un DPO también en casos no específicamente descritos en el RGPD.
[click_to_tweet tweet=»En el RGPD se establece la obligación de implementar la protección de datos por diseño (privacy by design) y por defecto (privacy by default) de suerte que los responsables deben implementar las medidas técnicas y organizativas adecuadas.» quote=»En el RGPD se establece la obligación de implementar la protección de datos por diseño (privacy by design) y por defecto (privacy by default) de suerte que los responsables deben implementar las medidas técnicas y organizativas adecuadas.» theme=»style3″]Finalmente, y como no podía ser de otra forma, se imponen obligaciones en materia de documentación (registros de las actividades de tratamiento). En este sentido, los responsables deben mantener registros de las actividades de tratamiento que contengan cierta información requerida (incluyendo los fines de tratamiento, la descripción de las categorías de los interesados, los datos personales y los destinatarios, las medidas técnicas y organizativas implementadas, y cualquier transferencia de datos a terceros países).
3.7. El encargado del tratamiento: obligaciones y contratos
El RGPD presta especial atención al encargado del tratamiento en los arts. 24-33 y 37, pudiendo destacarse dos grandes temáticas en torno a su figura:
🔵Requisitos relativos a los contratos de tratamiento de datos para responsables y encargados:
🔘 Los responsables solo deben recurrir a los encargados que ofrezcan garantías técnicas y organizativas suficientes de cumplimiento de los requisitos del RGPD.
🔘 El contrato entre el responsable y el encargado debe constar por escrito.
🔘 Los contratos de tratamiento deberán estipular lo siguiente:
🔹El encargado solamente tratará los datos personales de acuerdo con las instrucciones del responsable.
🔹El encargado debe asegurar que su personal está sujeto a una obligación de confidencialidad.
🔹El encargado debe implementar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad de los datos personales apropiado al riesgo.
🔹El encargado no puede subcontratar el tratamiento de datos personales sin la autorización previa y por escrito del responsable.
🔹Cualquier contrato entre un encargado y un subencargado debe proporcionar las mismas obligaciones de protección de datos que las previstas en el contrato con el responsable.
🔹El encargado debe asistir al responsable en garantizar el cumplimiento de las obligaciones de seguridad, la evaluación de impacto de protección de datos y la consulta previa a la Autoridad de Protección de Datos para el tratamiento de datos de alto riesgo.
🔹El encargado debe suprimir o devolver los datos personales cuando el tratamiento se haya completado.
🔹El encargado debe proporcionar al responsable toda la información necesaria para demostrar el cumplimiento, así como permitir y contribuir a la realización de auditorías.
🔵Obligaciones directas para los encargados:
🔘 Excepto en casos limitados para las empresas u organizaciones que emplean a menos de 250 personas:
🔘 El encargado debe mantener un registro por escrito de todas las categorías de tratamiento efectuadas por cuenta de un responsable;
🔘 Y el encargado pondrá dicho registro a disposición de la Autoridad de Protección de Datos que lo solicite.
🔘 Implementar las medidas técnicas y organizativas adecuadas para garantizar un nivel adecuado de seguridad.
🔘 Adoptar medidas para asegurar que los miembros del personal con acceso a los datos personales los tratan únicamente de acuerdo con las instrucciones del responsable.
🔘 Notificar al responsable sin dilación indebida después de tener conocimiento de una violación de la seguridad de los datos personales.
🔘 Designar un DPO en casos específicos incluso cuando:
🔹El tratamiento requiera una observación regular y sistemática de interesados a gran escala.
🔹Y cuando los datos personales relativos a condenas e infracciones penales se traten.
3.8. Seguridad de los datos y notificación de violación de la seguridad de los datos personales
Otro de los temas de especial sensibilidad en el RGPD es el referente a las brechas de seguridad en materia de protección de datos de carácter personal.
Regulado en los arts. 32-34 y 37, la normativa gira en torno a los siguientes conceptos fundamentales:
🔵Requisitos en materia de seguridad de datos:
🔘 Los responsables y encargados deben aplicar las medidas técnicas y organizativas de seguridad apropiadas para garantizar un nivel adecuado de protección de los datos personales.
🔘 Cuando sea necesario, las medidas de seguridad deberán incluir la seudonimización y el cifrado de datos personales, la capacidad de restaurar los datos personales de forma rápida y un proceso de verificación y evaluación
🔘 Los responsables y encargados que realicen tratamientos y una observación de actividades a gran escala deberán designar un DPO.
🔵Régimen de notificación de violación de la seguridad de los datos personales:
🔘 Los responsables deben notificar las violaciones de la seguridad de los datos personales a la autoridad de control pertinente sin dilación indebida (cuando sea posible, dentro de las 72 horas posteriores a la detección de la violación), a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y libertades de los interesados.
🔘 Los responsables deben notificar a los interesados afectados por la violación de sus datos personales cuando suponga un alto riesgo para los derechos y libertades de los interesados.
🔘 Los encargados deben informar sobre las violaciones de la seguridad de los datos personales a los responsables sin dilación indebida y en todos los casos.
3.9. Códigos de conducta y certificaciones
Como ha ocurrido en muchos otros sectores (telecomunicaciones y bancario, entre otros), el RGPD, en sus arts. 40-43, reconoce la aprobación de códigos de conducta y la acreditación de certificaciones, sellos y marcas, en particular a nivel de la Unión Europea, para ayudar a responsables y encargados para demostrar el cumplimiento de las normas de protección de datos.
Así, en relación con los códigos de conducta podemos destacar las siguientes cuestiones:
🔵Bajo el RGPD, las asociaciones y otros organismos representativos pueden elaborar, modificar o ampliar un código de conducta con objeto de especificar cómo el RGPD se aplica a ciertos sectores de la industria.
🔵El código de conducta debe ser presentado ante la autoridad de control competente para su aprobación, registro y publicación.
🔵En caso de tratamiento internacional, el código de conducta debe presentarse al Comité Europeo de Protección de Datos (“el Comité”) para que dé su opinión. La Comisión Europea (“Comisión”) puede declarar que el código de conducta tiene validez general dentro de la UE. El Comité recopilará todos los códigos de conducta en un registro disponible al público.
🔵El cumplimiento con el código de conducta está sujeto a la supervisión de los organismos acreditados. En caso de infracción, la compañía en cuestión puede ser suspendida como entidad adherida al código y se notificará a las autoridades de control competentes.
🔵La adhesión a un código de conducta permite a los responsables y encargados de tratamiento ubicados fuera del Espacio Económico Europeo (“EEE”) demostrar que han implementado las garantías adecuadas con el fin de permitir las transferencias de datos de los países del EEE a países fuera del EEE.
[click_to_tweet tweet=»Como ha ocurrido en muchos otros sectores, el RGPD, reconoce la aprobación de códigos de conducta y la acreditación de certificaciones, sellos y marcas, para ayudar a demostrar el cumplimiento de las normas de protección de datos.» quote=»Como ha ocurrido en muchos otros sectores, el RGPD, reconoce la aprobación de códigos de conducta y la acreditación de certificaciones, sellos y marcas, para ayudar a demostrar el cumplimiento de las normas de protección de datos.» theme=»style3″]Y en lo referente a la posibilidad de la utilización de mecanismos de certificación, sellos y marcas se recogen las siguientes pautas:
🔵 El establecimiento de mecanismos de certificación de protección de datos, sellos y marcas se promoverá con el fin de demostrar el cumplimiento del RGPD.
🔵 La adhesión a los mecanismos de certificación, sellos y marcas permite a los encargados y responsables de tratamiento ubicados fuera del EEE demostrar que han implementado las garantías adecuadas para permitir las transferencias de datos de los países del EEE a países fuera del EEE.
🔵 La autoridad de control competente o el Comité aprobarán los criterios para las certificaciones. El Comité podrá desarrollar criterios para una certificación única, por ejemplo, el Sello Europeo de Protección de Datos.
🔵 Los organismos de certificación acreditados expedirán las certificaciones. Las acreditaciones de los organismos de certificación serán expedidas por un máximo de cinco años y están sujetas a renovación y revocación en caso de que las condiciones de acreditación dejen de cumplirse. Las certificaciones serán válidas por un máximo de tres años y pueden ser renovadas o revocadas cuando las condiciones para la emisión de la certificación hayan dejado de cumplirse.
🔵 El Comité mantendrá un registro disponible al público de todos los mecanismos de certificación, sellos y marcas.
3.10. Transferencias internacionales de datos
Como decíamos con anterioridad el RGPD no solo se refiere a la protección de los datos personales sino también a su libre circulación.
A este respecto, todo lo que supone la UE y el EEE queda debidamente protegido por el RGPD. Ahora bien, el RGPD muestra su preocupación por las transferencias internacionales de datos en los arts. 44-50, estableciendo las siguientes reglas:
🔵La Comisión puede adoptar decisiones de adecuación de terceros países, o territorios o sectores dentro de dichos países si se considera que ofrecen un nivel adecuado de protección para las transferencias internacionales. Las transferencias a dichos países, territorios o sectores no requieren de autorizaciones específicas. La lista existente de terceros países considerados como adecuados por parte de la Comisión se mantiene en vigor e incluye el Escudo de privacidad UE-EEUU para las transferencias de datos de los países del EEE a los EEUU.
🔵En ausencia de una decisión de adecuación, los datos personales pueden ser transferidos a terceros países situados fuera del EEE sólo cuando se den las garantías adecuadas. Estas garantías incluyen:
🔘 Las cláusulas contractuales tipo de protección de datos que pueden ser adoptadas o aprobadas por la Comisión.
🔘 Las Normas Corporativas Vinculantes (“NCV”): son las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro de la UE para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.
🔘 La existencia de un código de conducta válidamente aprobado.
🔘 La existencia de un mecanismo de certificación aprobado o un instrumento exigible entre las autoridades públicas esté en vigor.
🔵En ausencia de una decisión de adecuación o de garantías adecuadas, las transferencias internacionales son posibles bajo una de las siguientes condiciones:
🔘 El consentimiento explícito otorgado por el interesado después de que el interesado haya sido informado de los posibles riesgos de tales transferencias.
🔘 La transferencia sea necesaria para un contrato o para la ejecución de medidas pre-contractuales entre el responsable y el interesado.
🔘 La transferencia sea necesaria para un contrato concluido en interés del interesado entre el responsable y otra persona jurídica.
🔘 La transferencia sea necesaria por razones importantes de interés público.
🔘 La transferencia sea necesaria para el reconocimiento, ejercicio o defensa de reclamaciones.
🔘 La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
🔘 Y la transferencia se realice desde un registro público.
🔵Finalmente, el RGPD también se ocupa de situaciones de descubrimiento electrónico a terceros países (e-discovery) al indicar que las sentencias o decisiones de las autoridades administrativas de terceros países que requieran la transferencia de los datos personales pueden ser reconocidos o ejecutables sólo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua entre el país tercero requirente y la Unión Europea o un Estado miembro de la UE, sin perjuicio de los motivos mencionados anteriormente para la transferencia de conformidad con el RGPD.
3.11. Supervisión por las autoridades de protección de datos
En los arts. 51-76 del RGPD se contiene un amplio régimen de supervisión por parte de las autoridades de protección de datos que puede sintetizarse como sigue:
🔵Las Autoridades de Protección de Datos: los Estados miembros mantendrán una o más Autoridades de Protección de Datos por país:
🔘 La independencia de las Autoridades de Protección de Datos se verá reforzada por medio de las normas relativas al establecimiento de las Autoridades de Protección de Datos y las del nombramiento y cese de sus miembros, entre otras.
🔘 Las funciones y competencias de las Autoridades de Protección de Datos se han ampliado, incluyendo la facultad de realizar auditorías y poder acceder a las instalaciones de los responsables y encargados.
🔘 El RGPD establece un mecanismo de ventanilla única mediante el cual las Autoridades de Protección de Datos designan a una Autoridad de Protección de Datos principal (normalmente sobre la base del lugar donde el encargado tenga su establecimiento principal) y cooperará para la adopción de decisiones relativas a transferencias internacionales de datos.
🔵El Comité Europeo de Protección de Datos: reemplazará al Grupo de Trabajo del Artículo 29.
🔘 El Comité estará compuesto por el director de una Autoridad de Protección de Datos por cada Estado miembro y el Supervisor Europeo de Protección de Datos. Contará de una secretaría permanente proporcionada por el Supervisor Europeo de Protección de Datos y ubicada en Bruselas.
🔘 El Comité emitirá dictámenes y directrices y garantizará la aplicación coherente del RGPD.
🔘 El Comité dispone de poderes de decisión vinculantes en el caso de que existan diferencias entre las Autoridades de Protección de Datos en el procedimiento de ventanilla única (por ejemplo, acerca de cuál debería ser la Autoridad de Protección de Datos que deba ser la autoridad principal o en la determinación del contenido de la decisión final en la resolución de disputas).
3.12. Recursos, responsabilidad y sanciones
Finalmente, los arts. 77-84 del RGPD contienen un detallado régimen jurídico en relación con los posibles recursos así como las potenciales responsabilidades y sanciones.
En relación con las reclamaciones, los interesados tienen los siguientes derechos respecto de los responsables y encargados:
🔵Derecho a presentar reclamaciones (a través de las asociaciones representativas, entre otros medios) con las Autoridades de Protección de Datos en el Estado miembro en el que tenga el interesado su residencia, lugar de trabajo o el lugar de la infracción, incluyendo el recurso en caso de que la Autoridad de Protección de Datos no aborde la reclamación.
🔵Derecho a recurrir las decisiones vinculantes de las Autoridades de Protección de Datos ante los tribunales nacionales.
🔵Derecho a iniciar procedimientos judiciales ante los tribunales nacionales donde tengan su establecimiento el responsable o el encargado de tratamiento o donde el interesado tenga su residencia.
Por lo que se refiere a la responsabilidad (y las correspondientes indemnizaciones), bajo el RGPD, el responsable y el encargado están obligados a compensar en su totalidad al interesado por el daño material e inmaterial que resulte como consecuencia de una infracción de las provisiones del RGPD.
Esto también se aplica si hay más de un responsable o encargado, o ambos un responsable y un encargado, compartan la responsabilidad por los daños causados por el tratamiento (“responsabilidad solidaria”).
Finalmente, en materia de sanciones resulta bastante reveladora la siguiente tabla comparativa entre el régimen anterior y el nuevo aprobado por el RGPD.
Como se ve, el incremento de las sanciones es simplemente espectacular y aterrador, ya que de aplicarse puede suponer el fin de muchas compañías sin suficientes recursos para hacer frente a las mismas.
En cualquier caso, las sanciones deben determinarse sobre la base de los criterios enumerados en el RGPD y, están sujetas a revisión judicial y al correspondiente procedimiento.
Ahora bien, no debe olvidarse que los Estados miembros de la EU pueden imponer sanciones adicionales, incluso de carácter penal, por lo tanto, y como se puede apreciar la normativa sancionadora en materia de protección de datos no es ninguna tontería.
4. Conclusiones
Expuesto todo lo anterior, nuestras conclusiones son las siguientes:
🔵El RGPD y la LOPD18 incluyen normativa de protección para los datos de carácter personal en tanto en cuanto nos encontremos ante una persona física que pueda ser identificada o identificable.
Sin embargo, la tecnología Big Data utiliza también datos a partir de hechos aislados utilizando técnicas de anonimización, con lo que los sujetos ya no son conocidos, ni identificables. Estos datos, en consecuencia, ya no se consideran datos de carácter personal por lo que ya no sería aplicable el RGPD, ni tampoco la legislación interna sobre protección de datos de carácter personal, por lo que en cierta medida podría concluirse que la tecnología del Big Data también implica ciertos riesgos para la efectiva aplicación de la normativa de protección de datos.
🔵A pesar de que de acuerdo con lo dispuesto por el art. 32 del RGPD se deben aplicar medidas apropiadas para garantizar el nivel de seguridad adecuado al riesgo incluyendo, entre otras, técnicas de seudonimización y cifrado de datos, no es menos cierto que ya se han dado casos de re-identificación de bases de datos que, en un principio, se habían anonimizado y es que, al tener variada información del usuario disponible, y aunque se trate de forma anónima al interesado, en ocasiones es fácil identificarlo pues el Big Data permite cruzar datos de fuentes diversas.
🔵El RGPD hace demasiado hincapié en el consentimiento informado del interesado persona física con el objeto de compilar sus datos de carácter personal.
De hecho, el Reglamento acentúa esta idea e incluye más obligaciones para el prestador de servicios al recabar el consentimiento del interesado para tratar sus datos.
Es cierto que, de acuerdo con lo dispuesto por el Reglamento, el consentimiento constituye una de las condiciones para el tratamiento de datos, encontrándose al mismo nivel de importancia que las demás.
Sin embargo, en la práctica no tiene mucha utilidad y dar lugar a controversias puesto que, a menudo, los usuarios no leen las políticas de privacidad y tratamiento de datos con anterioridad a consentir al tratamiento de los mismos.
🔵Dicho lo anterior, el RGPD resulta una herramienta muy poderosa para las Autoridades de Protección de Datos pues, además de contener un ámbito de aplicación territorial más allá del espacio UE-EEE, establece tanto un sistema de responsabilidad (responsabilidad solidaria del responsable y del encargado) como un régimen sancionador (que puede suponer hasta un 4% del volumen de negocio total anual global) tan duros que sin duda van disuadir a muchas empresas de realizar algunas de las conductas (spam, marketing agresivo, ventas de bases de datos, etc.) que se habían implantado a la hora de tratar los datos.
🔵En definitiva, y como ha pasado en otras ramas del Derecho (v.gr., en la prevención de riesgos laborales o en relación con la responsabilidad penal de las personas jurídicas) una vez más el compliance va a resultar fundamental, siendo muy recomendable, por ende para aquellas empresas que apliquen técnicas de Big Data, adoptar medidas como el nombramiento de un DPO, la elaboración de códigos de conducta y la implementación de certificaciones y sellos de calidad que acrediten el cumplimiento del RGPD.
¿Te ha gustado el post? ¿Qué opinas sobre el Big Data? ¿Crees que la normativa de protección de datos nos protege suficientemente?
Déjanos un comentario y estaremos encantados de responderte y ayudarte.
Antonio Serrano Acitores y Lucía García Martín
Notas al pie de página
[1] OLIER, E., La guerra económica global, Tirant lo Blanch, Valencia, 2018, pág. 22.
[2] HARARI, Y.N., Homo Deus: breve historia del mañana, Debate, 2016.
[3] VIVANCOS, D., Big Data. Hacia la inteligencia artificial, The Valley Digital Business School, 2016, pág. 13.
[4] VIVANCOS, D., op. cit., pág. 33.
[5] VIVANCOS, D., op. cit., págs. 33-42.
[6] A diferencia de aquellos datos contenidos en bases de datos relacionales (clientes, ventas, productos…) que son, por lo general, datos estructurados, la cualidad de no estructurado consiste en que los datos no siguen una línea lógica y no tienen una estructura interna identificable.
[7] VIVANCOS, D., op. cit., págs. 53-58.
[8] VIVANCOS, D., op. cit., págs. 103-105.
[9] Seguiremos, en esencia, el esquema propuesto por JONES DAY, Guía del Reglamento General de Protección de Datos. Disponible on-line: https://www.jonesday.com/files/Publication/cef94332-432c-4e35-8dbb-70f2512a2933/Presentation/PublicationAttachment/cfdc7229-4d3c-4344-961a-7136801e325d/GDPR%20Pocket%20Guide%20A4%20SPANISH%2004_17_17.pdf
¡Gracias por este post! Me ha resultado muy interesante