¿Usted, su empresa u organización “tratan” datos personales?

Le damos un dato

Ocurre a cada instante.

Conseguir datos o acceder a ellos es parte esencial de su actividad empresarial o profesional. Sin datos, hoy en día, faltaría aquel insumo fundamental y estratégico para el desarrollo de los negocios.

¿Pero qué es un dato? No necesitamos acudir a complejas definiciones ni a oscuros conceptos jurídicos para contestar esta pregunta. Bástennos, para ello, con la primera y tercera acepciones con las que el Diccionario de la Real Academia Española nos explica esta palabra. En efecto, un dato es o puede consistir en:

  1. “Información sobre algo concreto que permite su conocimiento exacto o sirve para deducir las consecuencias derivadas de un hecho”; o,
  2. “Información dispuesta de manera adecuada para su tratamiento por una computadora”.

Si esa información, además, sirve para identificar o hacer identificable a una persona natural, ya sea directa o indirectamente, entonces estamos frente un dato personal. Así es como lo define la Ley Orgánica de Protección de Datos Personales (“LPDP”) que se publicó en el Quinto Suplemento del Registro Oficial Nº 459 del 26 de mayo del 2021.

Los datos de carácter personal ya gozaban de protección en la vigente Constitución del 2008; sin embargo, debieron transcurrir casi trece años para que se dicte la ley que unifique disposiciones que antes se hallaban dispersas en normas de distinto rango, origen y consecuencias.

“Tratar” datos

El verbo “tratar”, en el contexto de la LOPDP, es virtualmente un sinónimo de “usar”, puesto que tratar datos personales no es otra cosa que usarlos de cualquier manera, ya sea de forma automatizada o no. Y ese uso también engloba actos tales como recopilar datos, obtenerlos, registrarlos, organizarlos, estructurarlos, modificarlos, indexarlos y hasta consultarlos, distribuirlos, cederlos, elaborar perfiles[1] con ellos, entre otras conductas.

El dueño de los datos y otros personajes

El dueño de los datos es la persona natural que los ha proporcionado. Esa condición le confiere una serie de derechos, entre los que destacan el derecho a la información, el de acceso, el de rectificación y actualización y el de eliminación.

Desde luego, no queremos ser exhaustivos en este momento, pero si usted o su empresa poseen datos de carácter personal que pertenecen a un sinnúmero de personas naturales, pues que sepan que ya no será tan fácil gestionar esa información y que, en la medida en que los mantengan, deberán ser capaces de facilitarles a los titulares el ejercicio de los derechos que la LOPDP les conceden, además de tener que cumplir un vasto espectro de obligaciones.

Pero, aparte del titular y pese a que hay algunos más, juegan un rol preponderante estos personajes:

  1.    El responsable del tratamiento: Una persona natural o jurídica, pública o privada, que decide cuál es la finalidad y qué tipo de tratamiento se les dará a los datos de carácter personal. Dicho de otra forma, el responsable define la estrategia perseguida por el tratamiento de los datos; entonces, se hace cargo de esta pregunta: ¿Para qué se tratarán los datos?
  2. El encargado del tratamiento: Una persona natural o jurídica, pública o privada, que simplemente trata datos personales, pero a nombre y por cuenta del responsable. En palabras más claras, el encargado sería un agente especializado que recopila, organiza, estructura, indexa y/o de cualquier otra forma usa datos personales, pero que no toma decisiones en cuanto a la finalidad última perseguida por estas actividades; decisión que, como ya lo tenemos anotado, corresponde al responsable. El encargado tiene bajo su control la táctica del tratamiento; en suma, se hace cargo de esta pregunta: ¿Cómo trato los datos?
  3. La Autoridad de Protección de Datos Personales (APDP): La institución pública de control y vigilancia, con capacidad para imponer las multas establecidas en la LOPDP, y que está encargada de garantizarle a los ciudadanos la protección de sus datos. Su titular será el Superintendente de Protección de Datos.
  4. Las entidades certificadoras o de certificación: Organizaciones que serán reconocidas por la APDP para proporcionar certificaciones de cumplimiento en materia de protección de datos personales.

Pedir cualquier dato ya no es una opción; transferirlos libremente, peor.

Los ciudadanos nos hemos acostumbrado a llenar todo tipo de formularios, electrónicos o en soporte papel, en los que se solicitan todo tipo de datos. En muchos casos, la información que se nos requiere nos parece excesiva, impertinente o incluso invasiva de nuestra privacidad, tomando en cuenta cuál es la finalidad que perseguimos cuando nos vemos obligados a entregarla.

La LOPDP tiende a suprimir esa y otras prácticas abusivas, a la par que obliga a todos quienes tratan datos a informarles a los titulares:

  1. Cuáles son los fines del tratamiento de los datos;
  2. Cuál es la base legal que faculta al responsable o encargado para poder realizar el tratamiento;
  3. Cuáles son los tipos de usos que se les darán a los datos;
  4. Durante cuánto tiempo serán conservados;
  5. Los efectos de suministrar datos erróneos o inexactos, entre otros.

De igual manera, y salvo ciertas excepciones expresamente previstas en la LOPDP, la transferencia libre de datos de carácter personal ha dejado de ser, al menos dentro de la ley, una posibilidad, pues el titular deberá prestar su consentimiento expreso para que puedan ser cedidos, siempre y cuando se le haya entregado previamente información suficiente sobre los fines u objetivos que se persiguen con la cesión. Tenga muy en cuenta esto si, como parte de sus prácticas comerciales o profesionales, suele comprar o vender bases de datos, pues las consecuencias podrían resultarle muy costosas.

Multas significativas

En letra muerta quedarían las disposiciones de la LOPDP si no fuese por la presencia amenazante de multas que pueden ser cuantiosas. Así, tenemos que para el responsable o, en su caso, para el encargado del tratamiento de datos personales que pertenezcan al ámbito privado, las sanciones pueden ser:

  1. En el caso de infracciones leves, multa que oscila entre el 0.1% y el 0.7% calculada sobre su volumen de negocio correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa; y,
  2. En el caso de infracciones graves, multa que oscila entre el 0.7% y el 1% calculada de la misma manera que en las infracciones leves[2].

¿Qué hacer?

A estas alturas, ya se habrá dado cuenta de que —bien sea como responsable o bien fuere como encargado—, definitivamente usted, su empresa u organización “tratan” datos de carácter personal. Por ende, por mucho que se resista, probablemente no está lejos del alcance de la LOPDP y, de hecho, casi nadie lo está. Entonces, debe empezar a actuar con la adecuada asesoría tecnológica y jurídica para:

  1. Adoptar políticas y protocolos que permitan:

1.1.  La aplicación de medidas dirigidas a impedir que, sin esfuerzos desproporcionados, se pueda identificar o volver a identificar a una persona natural a través de sus datos personales (medidas de anonimización).

1.2.  La implementación de medidas que impidan asociar datos personales a sus titulares concretos (medidas de seudonimización).

1.3.  Recabar el consentimiento libre, específico, informado e inequívoco de los titulares para el tratamiento de sus datos, así como facilitar su eventual revocatoria.

1.4.  Facilitar, de forma expedita, el ejercicio de los derechos que la LOPDP les franquea a los titulares en relación a sus datos personales, lo que incluye el derecho de eliminación y a la suspensión del tratamiento.

1.5.  La protección de datos personales desde el diseño.

1.6.  La protección de datos personales por defecto.

1.7.  Adoptar las mejores prácticas en materia de seguridad integral de datos personales, según cuál fuere el alcance del tratamiento.

1.8.  La realización de análisis de riesgo, amenazas y vulnerabilidades.

  1. Redactar:

2.1.  Avisos o declaraciones, en lenguaje sencillo y directo, que les permitan a los titulares viabilizar su derecho a la información sobre los fines del tratamiento de sus datos, así como sus clases, base legal, etcétera.

2.2.  Contratos, entre los responsables y los encargados, que incluyan cláusulas de confidencialidad y de tratamiento adecuado de datos personales.

2.3.  Cláusulas de confidencialidad y de tratamiento adecuado con el personal que tendrá acceso a datos de carácter personal.

  1. Desarrollar códigos de conducta y, llegado el momento, obtener certificaciones de cumplimiento de la LOPDP a través de las entidades certificadoras, entre otras medidas y actividades.

Como se ve, los frentes a cubrir y las tareas a realizar son múltiples. Sin embargo, aún hay tiempo. No hay que esperar hasta el 26 de mayo del 2023 para tomar las medidas correctivas, pues desde esa fecha la LOPDP se hará sentir con toda su fuerza.

Consulegis Abogados

Fabrizio Peralta Díaz

[email protected]

  • Máster en Informática y Derecho por la Universidad Complutense de Madrid
  • Postítulo en Legal Tech por ESADE Law School – Universidad Ramón Llull, Barcelona
  • Postítulo en Derecho Digital y Contratación por IE Law School, Madrid

[1] Según la LOPDP, la elaboración de perfiles es una forma de tratamiento de datos “que permite evaluar, analizar o predecir aspectos de una persona natural para determinar comportamientos o estándares relativos a: rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, ubicación, movimiento físico de una persona, entre otros”.

[2] Ciertamente, en la LOPDP se ha cometido el error de utilizar, a la vez, el techo de la multa por infracción leve como piso de la multa por infracción grave.