23 Oct

1. Derechos Establecidos en el RGPD para los Interesados

Derechos LOPDGD (A.R.C.O.)

  • Acceso: Permite a una persona solicitar información al responsable de un fichero sobre si sus datos personales están siendo tratados.
  • Rectificación: Solicitar la modificación o corrección de sus datos que se consideren inexactos o incompletos.
  • Cancelación (Supresión): El afectado puede solicitar la supresión de los datos que resulten inadecuados o excesivos, sin perjuicio del deber de conservarlos.
  • Oposición: Se trata del derecho de una persona a oponerse al tratamiento de sus datos personales.

Derechos RGPD (P.O.L.)

  • Portabilidad: Permite al interesado solicitar al responsable del tratamiento que se le faciliten los datos personales que le conciernen en un formato estructurado y claro, o que se transmitan a otro responsable.
  • Olvido (Supresión): Facilita la posibilidad de que el interesado solicite el borrado de sus datos personales (‘desaparezcan’ o no dejen rastro en la red).
  • Limitación del Tratamiento: Permite que cualquier persona tenga derecho a exigir al responsable del tratamiento la limitación del tratamiento de sus datos personales.

Las organizaciones deben facilitar el ejercicio de estos derechos mediante procedimientos visibles, accesibles y sencillos. Es gratuito, salvo solicitudes infundadas o excesivas. Se pueden presentar por escrito u online, y las respuestas deben darse en un mes. Se recomienda habilitar sistemas de autogestión remota segura.

2. Requisitos en el Proceso de Recogida de Datos

Base Jurídica del Tratamiento

Todo tratamiento de datos debe apoyarse en una base de legitimación. La empresa debe identificar cuál de las siguientes justifica su recogida y uso de datos:

  • Consentimiento.
  • Relación contractual.
  • Intereses vitales.
  • Obligación legal.
  • Interés público o ejercicio de poderes públicos.
  • Intereses legítimos del responsable o de terceros, siempre que no prevalezcan los derechos del interesado.

El Consentimiento

Debe ser inequívoco, otorgado mediante una manifestación clara o acción afirmativa. No se permiten los consentimientos tácitos ni por omisión. En determinados casos, debe ser además explícito, como en el tratamiento de datos sensibles. Es recomendable establecer periodos de renovación del consentimiento para garantizar su validez continua.

Transparencia y Deber de Informar

La información debe ser:

  • Concisa, transparente, inteligible y de fácil acceso.
  • Con lenguaje claro y sencillo.
  • Por escrito, pudiendo usar medios electrónicos cuando sea adecuado.

Además, se deben usar modelos adaptados a cada sector.

Información por Capas (Modelo Multinivel)

El RGPD recomienda un modelo multinivel o por capas para presentar la información al interesado:

Primera Capa: Información Básica (Resumida)
  • Responsable.
  • Finalidad.
  • Legitimación.
  • Destinatarios.
  • Derechos.
  • Procedencia.
Segunda Capa: Información Adicional (Detallada)
  • Datos de contacto del Delegado de Protección de Datos (DPD).
  • Descripción detallada de las finalidades y plazos de conservación.
  • Información sobre decisiones automatizadas o perfiles.
  • Garantías en caso de transferencias internacionales, entre otras.

Privacidad por Diseño y la Amenaza de los «Dark Patterns»

¿Qué son los «Dark Patterns»?

Los Dark Patterns (Patrones Oscuros) son técnicas de diseño engañosas que inducen al usuario a tomar decisiones que comprometen su privacidad, como aceptar tratamientos de datos sin comprenderlos, dificultar la configuración de privacidad o impedir el ejercicio de derechos.

Estos patrones vulneran los principios del RGPD, especialmente los de licitud, lealtad, transparencia, minimización de datos, limitación de la finalidad y responsabilidad proactiva, todos ellos recogidos en el artículo 5 y reforzados por el artículo 25 del RGPD.

Razones de Uso

El uso de patrones oscuros suele responder a intereses comerciales o técnicos que buscan:

  • Maximizar la recopilación de datos personales.
  • Evitar que el usuario configure su privacidad de forma restrictiva.
  • Dificultar el ejercicio de derechos.
  • Reducir la transparencia.

Buenas Prácticas Alternativas (Diseño Ético)

  1. Privacidad como configuración predeterminada (PbDefault).
  2. Transparencia y visibilidad.
  3. Control por parte del usuario.
  4. Diseño centrado en el usuario.
  5. Responsabilidad proactiva.
  6. Estrategias de diseño ético.

Privacidad por Defecto (PDpD)

La optimización en Protección de Datos por Defecto (PDpD) consiste en integrar medidas técnicas y organizativas que garanticen que, por defecto, se traten únicamente los datos personales necesarios para cada finalidad específica.

Esta optimización debe formar parte del proceso global de calidad de las organizaciones, afectando al diseño, configuración y funcionamiento de sistemas, aplicaciones y servicios.

Dimensiones Clave de la Optimización

La optimización se alcanza mediante un conjunto de estrategias y medidas que afectan a cuatro dimensiones clave del tratamiento de datos personales:

  1. Cantidad de datos personales recogidos.
  2. Extensión del tratamiento.
  3. Periodo de conservación.
  4. Accesibilidad de los datos.

Estrategias para Implementar la Optimización

El documento identifica tres estrategias fundamentales:

  • Optimizar: Aplicar medidas que limiten la cantidad, extensión, conservación y accesibilidad de los datos.
  • Configurar: Permitir que el tratamiento sea ajustable mediante parámetros definidos por el responsable o el usuario.
  • Restringir: Establecer valores predeterminados que respeten la privacidad, aplicando el principio de minimización.

Estas estrategias están alineadas con las de “minimizar” y “controlar” definidas por la AEPD.

Evaluación y Gestión del Riesgo

Enfoque Organizativo en la Protección de Datos

Desde el punto de vista de la organización, la protección de datos se aborda como un proceso planificado, sistemático y continuo que forma parte de su modelo de calidad y cumplimiento normativo. Este enfoque implica:

1. Intereses

  • Proteger la reputación, la seguridad jurídica y la confianza de clientes y usuarios.
  • Evitar sanciones derivadas del incumplimiento del RGPD.
  • Garantizar la continuidad del negocio y la fiabilidad técnica de los sistemas.

2. Obligaciones (Accountability)

  • Cumplir con el principio de responsabilidad proactiva, demostrando que los tratamientos son conformes al RGPD.
  • Aplicar medidas técnicas y organizativas adecuadas según el nivel de riesgo.
  • Documentar todas las decisiones, evaluaciones y medidas adoptadas.

3. Necesidades

  • Identificar y clasificar los riesgos operativos, legales y reputacionales.
  • Establecer mecanismos internos de prevención, control y reacción.
  • Integrar la gestión del riesgo en todos los procesos de tratamiento de datos.

4. Procesos Clave

  • Registro de actividades de tratamiento.
  • Evaluación de riesgos y, si procede, Evaluación de Impacto en Protección de Datos (EIPD).
  • Monitorización continua y revisión del ciclo de vida del tratamiento.
  • Diseño de actividades de tratamiento con fines específicos, medibles y alcanzables.

5. Riesgos

  • La organización evalúa el riesgo inherente y residual de cada tratamiento.
  • Considera amenazas como el acceso ilegítimo, la modificación no autorizada o la pérdida de datos.
  • Aplica medidas de control para reducir la probabilidad e impacto de los riesgos.

Enfoque del Interesado o Persona Afectada

El RGPD pone el foco en los derechos y libertades de los interesados, no en los riesgos para la organización. Desde este punto de vista:

  • El riesgo se evalúa en función del daño potencial que puede sufrir una persona por el tratamiento de sus datos.
  • Se consideran impactos materiales o morales, como la pérdida de privacidad, discriminación, exclusión social o económica.
  • La gestión del riesgo debe garantizar que el tratamiento no comprometa la dignidad, autonomía o seguridad del individuo.
  • Las medidas adoptadas deben ser proporcionadas y transparentes, permitiendo al interesado ejercer sus derechos de forma efectiva.

Diferencias Clave entre Ambos Enfoques

La organización enfoca la protección de datos como parte de su gestión interna: busca cumplir con el RGPD, proteger su reputación, evitar sanciones y asegurar la calidad de sus procesos. Evalúa riesgos legales, técnicos y operativos, y aplica medidas para minimizar el impacto sobre sus propios activos. En cambio, el RGPD exige que el foco esté en los derechos y libertades de las personas afectadas.

Diferencias entre Garantía Jurídica y Gestión del Riesgo

Garantía Jurídica

La garantía jurídica se refiere al cumplimiento estricto de las obligaciones legales establecidas en el RGPD. Esto incluye:

  • Firmar contratos con encargados del tratamiento conforme al artículo 28 del RGPD.
  • Aplicar bases jurídicas válidas para legitimar el tratamiento (como el consentimiento o el interés legítimo).
  • Cumplir con los principios del tratamiento de datos (licitud, lealtad, transparencia, minimización, etc.).

Estas acciones son obligaciones legales, no medidas de gestión del riesgo. No se pueden sustituir por controles técnicos ni por seguros que cubran sanciones.

Gestión del Riesgo

La gestión del riesgo, en cambio, se centra en proteger los derechos y libertades de los interesados frente a posibles daños derivados del tratamiento de sus datos. Implica:

  • Identificar amenazas que puedan afectar a la privacidad.
  • Evaluar la probabilidad e impacto de esas amenazas.
  • Aplicar medidas para reducir el riesgo residual a niveles aceptables.

Por ejemplo, firmar acuerdos de confidencialidad con el personal que trata datos sí puede considerarse una medida de gestión del riesgo, porque refuerza el compromiso ético y operativo sin sustituir las obligaciones del responsable.

Diferencia Clave: La garantía jurídica asegura que el tratamiento cumple con la ley. La gestión del riesgo busca que ese tratamiento no cause perjuicios a las personas. Ambas deben coexistir, pero cumplir la ley no basta si no se protege activamente a los interesados.

Etiquetas: , , , , , , ,

Deja un comentario