Protección de datos personales

¿Qué son datos personales?

datos personales / personal data

Con las nuevas obligaciones que establece el Reglamento General de Protección de Datos (en adelante, “RGPD” o “Reglamento”) resulta más importante que nunca conocer qué datos tratamos en nuestra compañía y cuáles de estos pueden ser calificados como datos personales.

Por ejemplo, es necesario conocer qué datos personales tratamos para cumplir con nuestros deberes de responsabilidad proactiva, como la llevanza de un registro de actividades del tratamiento, hacer evaluaciones de impacto o atender a las peticiones de los interesados que ejercen sus derechos de protección de datos.

 

Datos personales en el RGPD

El RGPD (o GDPR) define los datos personales en el artículo 4 como “toda información sobre una persona física identificada o identificable”. De este modo, el Reglamento ha mantenido el concepto de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, por lo que mucho de lo ya dicho durante la vigencia de la Directiva será igualmente aplicable con la nueva regulación.

Un dictamen de lectura obligatoria para entender el concepto de dato personal es el WP 136 del Grupo de Trabajo del Articulo 29 (en adelante, GT29) . En dicho documento el GT29 desglosa el concepto de datos de carácter personal que nos daba la Directiva en cuatro elementos (“toda información”, “sobre”, [persona física] “identificada o identificable” y “persona física”) y los analiza por separado. Veamos qué es cada cosa.

 

1. “Toda información”

Es una expresión que requiere una interpretación en sentido amplio y que el GT29 analiza desde 3 puntos de vista distintos: (i) la naturaleza, (ii) el contenido y (iii) el formato o soporte.

  • Desde la naturaleza: la expresión incluye todo tipo de afirmaciones sobre una persona, ya sean objetivas (e.g., un dato fisiológico) o subjetiva (e.g., una opinión).
  • Desde el contenido: incluye cualquier todos los datos con independencia de su información.
  • Desde el formato o soporte: puede decirse más de lo mismo, y es que incluye la información disponible en cualquier forma, por ejemplo, alfabética, numérica, gráfica, fotográfica o sonora.

 

2. “sobre”

Por lo general, se entiende que la información versa sobre sobre una persona cuando se refiere a ella, si bien la información también puede referirse a un objeto o a un proceso y solo indirectamente a una persona. Para el GT29, una información se referirá a una persona cuando exista un elemento “contenido” o un elemento “finalidad” o un elemento “resultado”:

  • Contenido: el elemento contenido está presente cuando se proporciona una información sobre una persona concreta, circunstancia que debe ser evaluada caso por caso y sin tener en consideración ni el propósito que pueda abrigar el responsable del tratamiento o un tercero, ni la repercusión que pueda tener sobre el interesado.
  • Finalidad: Si el elemento “contenido” puede existir indistintamente del tratamiento que el responsable o el encargado pretenden realizar, no ocurre lo mismo con el elemento “finalidad”, que sí depende del tratamiento en cuestión, considerándose que existe “cuando los datos se utilizan o es probable que se utilicen, teniendo en cuenta todas las circunstancias que rodean el caso concreto, con la finalidad de evaluar, tratar de determinada manera o influir en la situación o el comportamiento de una persona”.
  • Resultado: Finalmente, también debe entenderse que los datos versan “sobre” una persona en esas situaciones en que, “teniendo en cuenta todas las circunstancias que rodean el caso concreto, es probable que su uso repercuta en los derechos y los intereses de determinada persona”.

Los tres elementos son independientes, ergo para considerar que la información versa “sobre” una persona, no es necesario que concurran los tres elementos simultáneamente, sino que bastará con que exista uno de ellos. Además, es posible que una misma información se refiera al mismo tiempo a diversas personas, porque en esa información concurra más de un elemento y uno se refiera a una persona y otro otra.

 

3. [persona física] “identificada o identificable”

Se considera que una persona física está “identificada” cuando, dentro de un grupo de personas, se la puede distinguir de los demás miembros del grupo. Por consiguiente, la persona física será “identificable” cuando, aunque no se la haya identificado todavía, sea posible hacerlo.

El artículo 4.1 del RGPD establece que se considerará persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Por lo general, entendemos que una persona está directamente identificada cuando conocemos su “nombre y apellidos”, pues es el identificador más común y al que a menudo nos referimos. No obstante, en ocasiones el nombre y apellidos pueden no ser suficiente para identificar a una persona y deberán de combinarse con otros datos, como una dirección, una foto de perfil o un número de teléfono.

En todos esos casos en que los identificadores de que disponemos no permiten a nadie singularizar a una persona determinada, pero al combinarlos con otros datos (tanto si tenemos conocimiento de ellos como si no) es posible distinguir a la persona de otras, entenderemos que la persona es indirectamente identificable.

También puede considerarse a una persona identificada aunque no podamos averiguar su “nombre y apellidos”. Ello se debe a que en muchas situaciones dispondremos de otros identificadores que nos permitirán singularizar a una persona, crear un perfil y atribuirle decisiones  (piénsese en ese vecino cuyo nombre no conocemos pero que somos capaces de distinguir de otras personas, o en el identificador único que hemos dado a cada uno de nuestros clientes al incluirlos en nuestros ficheros).

 

4. “persona física”

El Reglamento establece en el considerando 14 que «la protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales». Se trata, por lo tanto, de un derecho universal de las personas físicas que no se circunscribe a los nacionales o residentes de un determinado país.

El Reglamento limita su protección a las personas físicas vivas, excluyendo a las personas fallecidas expresamente en el considerando 27: “el presente Reglamento no se aplica a la protección de datos personales de personas fallecidas. Los Estados miembros son competentes para establecer normas relativas al tratamiento de los datos personales de estas

Tampoco se aplicará el Reglamento a los datos relativos a las personas jurídicas. Así lo estipula el considerando 14, cuando dice que “el presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto”.

Espero haber arrojado un poco más de luz sobre qué son los datos personales. En realidad, es un concepto muy amplio y lo más relevante es determinar si la persona en concreto está identificada o es identificable en nuestros ficheros o combinando información con datos de terceros. Si la persona es identificable, toda la información que tengamos sobre ella serán datos personales.

 


Foto de cabecera de Max Pixel (CC0 1.0).

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *