Aquí encontrará información sobre la privacidad y la seguridad. Si tiene alguna pregunta, no dude en ponerse en contacto con nosotros al [email protected]

Centro de conocimientos sobre la Protección de datos

Hemos estructurado los temas relacionados con la protección de datos y la seguridad en diferentes secciones para que le resulte más fácil encontrar la información que desea. Si piense que algo falte, escríbanos al  [email protected].

General

Privacidad

¿Qué es la privacidad?

Leyes por países

Pilares de la privacidad

Registro de actividades de procesamiento

ROPA UE

ROPA Suiza

ROPA Brasil

Gestión de la privacidad

¿Qué es un sistema de gestión?

¿Qué es la norma ISO27701?

¿Qué es el SDM?

Ciberseguridad y TOM

ISO27001

BDSG

TISAX

NIST

Todo sobre la protección de datos

¿Qué significa la protección de datos?

En el mundo globalizado y digitalizado de hoy, los datos desempeñan un papel destacado. Por eso se entiende que los datos son, en parte, el recurso más valioso del siglo XXI. Los datos personales están en el centro de esto y se utilizan hoy en día de muchas maneras diferentes. Por ejemplo, en términos económicos, los datos personales tienen un valor material; se utilizan para analizar el comportamiento de los consumidores y adaptar las estrategias publicitarias. Para ello, se crean perfiles de personalidad completos, que contienen amplia información y pueden incluir todos los detalles de una persona.1

Asimismo, los datos personales también pueden ser utilizados por los empresarios para determinar el comportamiento laboral de sus empleados, por ejemplo, para aumentar la eficiencia. Por lo tanto, los beneficios de estos datos son enormes, y su valor a menudo se subestima.
Esto hace que la protección de datos sea aún más importante. Pero, ¿qué significa realmente la protección de datos y existe una definición?

Ante todo, la protección de datos significa el derecho de una persona a que se protejan sus datos personales. La protección de datos puede verse desde diferentes perspectivas y contiene varios sub-contenidos. Una parte del derecho de protección de datos es la llamada autodeterminación informativa. En este contexto, una persona tiene derecho a determinar lo que ocurre con sus datos, es decir, a decidir quién puede recogerlos, almacenarlos, acceder a ellos o procesarlos de otro modo. La protección de datos, por tanto, también incluye la protección contra el uso indebido en el tratamiento de datos, por lo que una persona está protegida contra el tratamiento injustificado de sus datos. La protección de datos es, por tanto, parte del derecho a la intimidad y del derecho a la protección de la personalidad.

Así, siempre hay dos intereses en juego. Por un lado, un responsable del tratamiento de datos está interesado en este tratamiento (por ejemplo, por interés económico o por razones de opinión). Por otro lado, el interesado cuyos datos se tratan está interesado en protegerlos.

Para obtener una imagen completa de la protección de datos en general, resulta útil examinar la historia de su desarrollo. Especialmente con la abundancia de fundamentos jurídicos, a menudo es difícil encontrar una introducción al tema, por lo que una visión transversal de la historia debería ayudar aquí.

Antecedentes históricos y desarrollo de la protección de datos en Europa 2

Con el fin de la Segunda Guerra Mundial y las atrocidades que tuvieron lugar durante la misma, surgió la necesidad, sobre todo en Europa, de consagrar los derechos fundamentales del individuo. La Declaración Universal de los Derechos Humanos (DUDH), adoptada por la Asamblea General de las Naciones Unidas el 10 de diciembre de 1948, expresa esta necesidad. Como declaración, la DUDH no es jurídicamente vinculante, pero su creación fue un hito en el desarrollo de los derechos humanos en todo el mundo. En Europa, para poner en práctica los ideales de la DUDH, el 4 de noviembre de 1950 se firmó el Convenio Europeo de Derechos Humanos (CEDH). Como tratado de derecho internacional, el CEDH vincula a los 46 miembros del Consejo de Europa. Incluye a todos los Estados miembros de la UE y a casi todos los países europeos (excepto Bielorrusia y Rusia).

La DUDH y el CEDH, firmemente basados en la primera, recogen el derecho a la vida privada (art. 12 de la DUDH y art. 8 del CEDH). La protección de los datos personales también se deriva de este derecho a la vida privada y a la intimidad (véase más arriba). Esta protección se basa en el hecho de que los datos personales, en particular, también se utilizaron para perpetrar los crímenes de la Segunda Guerra Mundial.

A lo largo del siglo XX, la importancia de la protección de los datos no dejó de crecer. A medida que mejoraba la potencia de los ordenadores, aumentaba el volumen de datos que se podían procesar. Aunque al principio sólo había un puñado de ordenadores en el mundo, los ordenadores también se extendieron rápidamente, de modo que pronto todo el mundo tenía un PC, y hoy todo el mundo lleva un smartphone. Con los servicios actuales, como la computación en la nube y otros similares, el flujo y el procesamiento de los datos son cada vez más complejos, por lo que la privacidad y la protección de los datos son también más complejas y difíciles de cumplir.

Para hacer frente a esta evolución, en los años 80 surgieron los primeros esfuerzos para garantizar la protección de datos. Además de por la OCDE formuladas no vinculantes Directrices sobre la protección de la intimidad y los flujos transfronterizos de datos personales, el Consejo de Europa acordó el Convenio Europeo de Protección de Datos (Convenio ETS 108). Con ello, los Estados firmantes se comprometieron a aplicar los principios del Convenio en su legislación nacional. El objetivo era crear un nivel de protección de datos uniforme y regular el tráfico de datos transfronterizo. Sin embargo, el Convenio 108 sólo fue ratificado esporádicamente por algunos Estados, y a menudo se adoptó un enfoque fragmentario. En vista de ello, en la década de 1990, la UE adoptó la Directiva 95/46/CE para la protección de las personas físicas en relación con el tratamiento de datos personales y la libre circulación de los mismos. Al hacerlo, los Estados miembros de la UE se comprometieron a garantizar las normas mínimas descritas en él a través de la legislación nacional.

Con el tiempo, la protección de datos en Europa se ha ido ampliando cada vez más. Por ejemplo, la protección de los datos personales se consagró en el artículo 8 de la Carta de los Derechos Fundamentales de la UE, que nació a finales de la década de los 90, recibió la aprobación del Consejo Europeo y del Parlamento Europeo en el año 2000, y se le dio efecto legal con el Tratado de Lisboa en 2009. Otra base jurídica fundamental son las Directivas de privacidad electrónica, también conocidas como Directivas sobre cookies, que regulan el uso de las cookies y establecen normas mínimas de protección de datos en las telecomunicaciones.

El Reglamento General de Protección de Datos (RGPD) está en vigor desde el 25 de mayo de 2018. El reglamento de la UE sustituye a la Directiva 95/46/CE y normaliza la protección de los datos personales y el tráfico de datos en el mercado interior europeo. Para que los países no pertenecientes a la UE también se ajusten a la nueva norma legal y para reflejar los avances tecnológicos de los últimos años y décadas, la ETS 108 se revisó para convertirse en la llamada ETS 108+. La adopción y ratificación están abiertas a cada país. Sin embargo, dado que muy pocos países han ratificado la nueva versión, se retrasará su entrada en vigor hasta el otoño de 2023. 3

Explicación de los términos

Como en tantas áreas del derecho, una definición consensuada como la anterior a menudo no resuelve de forma concluyente todas las preguntas que uno puede plantearse sobre el tema. En particular, surgen preguntas como: ¿Qué son los datos personales? ¿Qué significa el tratamiento de datos? ¿Y quién cuenta como persona protegida? Además, siempre hay diferencias debido a las distintas opiniones e interpretaciones jurídicas de los distintos países del mundo. El Reglamento General de Protección de Datos (RGPD) de la UE y la Ley Federal de Protección de Datos (FADP) de Suiza son especialmente relevantes en este caso. A pesar de las diferencias, es esencial explicar algunos términos importantes para la necesaria comprensión básica:

Datos personales

La protección de datos es la protección de los datos personales. Pero, ¿qué son los datos personales y qué puede entenderse por este término? El RGPD define los datos personales en el art. 4 como: "cualquier información relativa a una persona natural identificada o identificable". La DSG define los datos personales como: "cualquier información relativa a una persona identificada o identificable" (Art. 3 lit. a FADP o Art. 5 lit. a revFADP). De esto se deduce rápidamente que el término es enormemente amplio. El término "cualquier información" debe entenderse literalmente. Por lo tanto, todo, desde el nombre de una persona hasta su paradero, pasando por la información sobre su último pedido en línea, entra dentro del término "datos personales". El factor decisivo es que la información esté relacionada con una persona concreta o identificable, de modo que los datos puedan asignarse a una persona. Por ejemplo, los datos sobre el tamaño medio de una población no son todavía datos personales. Sin embargo, supongamos que es posible deducir quién es cuán alto en una ciudad porque los datos pueden asignarse a una persona. En ese caso, se consideran datos personales.

Personas protegidas

Igualmente importante es la cuestión de quién está protegido por la protección de datos. Aquí existen las primeras diferencias entre las leyes de protección de datos suizas y europeas. Mientras que el GDPR habla de personas naturales, es decir, de todos los individuos, la DPA actualmente también protege a las personas jurídicas, es decir, a las empresas y corporaciones. En cualquier caso, las personas naturales están protegidas por ambas leyes. Sin embargo, con la revisión de la ADP, esto cambiará. En el futuro, sólo las personas naturales estarán protegidas en Suiza (Art. 5 lit. b revDSG). No obstante, independientemente del sistema jurídico, en principio se aplica lo siguiente: toda persona está protegida.

Procesamiento de datos

La protección de datos protege, pues, a las personas naturales y sus datos personales. Lo que queda por explicar es de qué se les protege. De nuevo, las definiciones del RGPD y de la ADP son muy similares. Mientras que el RGPD define el tratamiento como "cualquier [...] operación o conjunto de operaciones con datos personales [...], la ADP define el tratamiento como "cualquier manipulación de datos personales [...]". De acuerdo con estas amplias definiciones, debe entenderse por tratamiento de datos. Así, si los datos se procesan, almacenan o eliminan de cualquier manera, se produce un tratamiento de datos. 

Alcance de la protección de datos 4

En este contexto, se plantea ahora la cuestión de cuándo se pueden tratar los datos personales y cuándo no. ¿Pueden tratarse los datos nunca o siempre, o existen justificaciones o límites? ¿Es posible procesar los datos más allá de la voluntad del interesado, y cómo puede conciliarse esto con el derecho de la persona a la protección personal? En este punto, a más tardar, hay que considerar por separado los distintos ordenamientos jurídicos en materia de derecho de la protección de datos.

La protección de datos en los distintos ordenamientos jurídicos

La protección de datos en la legislación europea

La característica decisiva del RGPD es que todo tratamiento de datos personales debe cumplir una de las seis condiciones para que sea lícito. El punto de partida es, por tanto, que el tratamiento de datos no está permitido, en principio, a menos que pueda justificarse. Las condiciones de justificación son:

  1. Consentimiento del interesado

El interesado cuyos datos personales se tratan para un fin determinado ha dado su consentimiento para ello. El permiso debe darse voluntariamente, distinguirse de otros asuntos, ser inteligible y haberse mostrado en un lenguaje claro y sencillo.

  1. Ejecución de un contrato en el que el interesado es parte.

El tratamiento de datos puede ser necesario para cumplir un contrato. Por ejemplo, una empresa debe tratar los datos de un cliente para prestar un servicio. 

  1. Cumplimiento de una obligación legal

Debe ser una obligación legal impuesta por la legislación de la UE o de un Estado miembro de la UE. No basta con invocar un deber contractual o una obligación establecida por la legislación de un tercer país. 

  1. Protección de los intereses vitales del interesado o de otra persona natural.

El tratamiento de datos es necesario para garantizar la supervivencia de la persona. Esta condición sólo debe ser una base legítima en casos de emergencia absoluta. Un ejemplo de ello es la obtención de información sobre el grupo sanguíneo de una persona que no responde para realizar una transfusión de sangre que le salve la vida. 

  1. Desempeño de una tarea de interés público o ejercicio de la autoridad oficial.

El interés público, que también podría definir el legislador, exige el tratamiento de los datos.

  1. Protección de los intereses legítimos del responsable del tratamiento o de un tercero

Un interés legítimo sólo puede justificar el tratamiento de datos si no prevalecen los intereses o los derechos y libertades fundamentales del afectado en la protección de sus datos. Debe realizarse una ponderación de intereses entre los intereses de protección del afectado y los intereses del responsable del tratamiento. Dado que los intereses de los afectados suelen tener mayor peso, esta condición se considera una justificación universal si no se aplica ninguna otra.

Sin una de las condiciones anteriores, el tratamiento de datos nunca es lícito según el RGPD y puede ser sancionado con fuertes multas.

La protección de datos en la legislación suiza

La ley de protección de datos en Suiza está cambiando actualmente. La ADP actualmente aplicable ha sido completamente revisada, y se espera que la nueva versión entre en vigor el 1 de septiembre de 2023. La revisión tiene varios objetivos. En primer lugar, hay que hacer frente a los cambios tecnológicos y sociales. En particular, se pretende reforzar la autodeterminación y la transparencia en el tratamiento de datos. La revisión es también una respuesta a la evolución jurídica de la protección de datos en la UE y en Europa. Así, se hará posible la ratificación del Convenio 108+ (véase más arriba), se aplicará la Directiva (UE) 2016/680 relativa a Schengen sobre la protección de datos en materia penal y se llevará a cabo un ajuste en la dirección del RGPD. Sin este cambio, Suiza dejaría de ser reconocida por la UE como país tercero con un nivel suficiente de protección de datos. 5

Como parte del Consejo de Europa, Suiza también ha ratificado el CEDH y está obligada a respetar los derechos fundamentales consagrados en él. Paralelamente, la Constitución Federal suiza también protege la libertad personal y la privacidad y contra el uso indebido de los datos personales en su catálogo de derechos fundamentales. Así pues, el FADP es una expresión y aplicación de estos derechos fundamentales y humanos.

En comparación con el RGPD, la actual FADP de Suiza adopta un enfoque algo opuesto sobre cuándo se permite el tratamiento de datos y cuándo no. En lugar de prohibir el tratamiento de datos en principio y permitirlo utilizando motivos de justificación, la FADP establece que el tratamiento de datos está permitido siempre que no infrinja ilegalmente la personalidad del interesado. Sin embargo, el FADP también exige un motivo de justificación en forma de consentimiento de un interés privado o público superior o una ley para que el tratamiento de datos no constituya una violación ilegal de la personalidad. Sin embargo, la diferencia crucial entre el RGPD y el FADP es el punto de partida y la presunción inicial.

Protección de datos en Alemania

En Alemania, la protección de datos se considera un derecho fundamental a nivel nacional desde la sentencia del censo de 1983 como parte de la autodeterminación informativa. Esto se deriva del derecho general de la personalidad y la dignidad humana. Como Estado miembro de la UE, Alemania está, por supuesto, sujeta al GDPR. Se complementa con la Ley Federal de Protección de Datos (BDSG) y las leyes estatales de protección de datos. 6

Protección de datos en Estados Unidos

Al tratarse de un tema estrechamente vinculado a nuestro mundo globalizado y digitalizado, apenas es posible considerar la protección de datos de forma aislada en función de cada país. Las grandes empresas operan a nivel internacional y deben cumplir con las leyes respectivas de los países en los que operan. En consecuencia, el tráfico internacional de datos y la normativa correspondiente también desempeñan un papel destacado. Muchas empresas tecnológicas globales que procesan datos a gran escala proceden de Estados Unidos. Por lo tanto, es inevitable echar un vistazo a la protección de datos allí.

La protección de datos en Estados Unidos es fundamentalmente diferente a la de Europa. Mientras que la protección de datos se consagra aquí como un derecho fundamental en varias ocasiones, y existe una estandarización a nivel europeo a través del RGPD, se habla francamente de un mosaico de leyes de protección de datos en los Estados Unidos. 7 Uno de los orígenes es la sentencia Griswold vs. Connecticut de 1965, en la que se declaró el derecho a la intimidad protegido por la Constitución. 8 Sin embargo, este derecho relativo a los datos personales sólo se ha cubierto de forma fragmentaria y se ha aplicado de forma débil en la legislación.

Dependiendo de quién procese los datos, hay otras leyes federales relevantes. En cuanto al tratamiento de datos por parte de las autoridades públicas, los ciudadanos tienen ciertos derechos en virtud de la Ley de Privacidad de 1974, por ejemplo, el derecho a inspeccionar los datos almacenados. Además, la Ley USA PATRIOT está en vigor desde 2001 y permite al gobierno estadounidense y a sus autoridades procesar datos personales en caso de sospecha, incluso vaga, de terrorismo. Resulta especialmente problemático que, además de las empresas estadounidenses, sus filiales en el extranjero también estén obligadas a entregar datos. Esta circunstancia está provocando enormes conflictos, ya que la entrega de estos datos puede estar prohibida en los respectivos países. 9

Sin embargo, si los particulares tratan los datos, otras bases legales pueden ser relevantes para la protección de datos. En particular, la Ley de la Comisión Federal de Comercio (FTC) es digno de mención. Como autoridad de la competencia, la FTC se encarga, por un lado, de proteger un mercado justo y equitativo. Por otro lado, también es responsable de la protección de los consumidores. 10 Si una empresa se desvía de sus avisos y políticas de privacidad, la FTC puede tomar medidas, ya que dicha desviación puede considerarse engañosa y de competencia desleal. De este modo, las empresas tendrán que rendir cuentas por las violaciones de su normativa.

Algunas normativas específicas, como la Ley de Protección de la Privacidad de los Niños en Internet (COPPA) o el Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), se crearon para la normativa de privacidad de subsectores específicos.

A nivel estatal, sólo California tiene una ley de privacidad completa (Ley de Privacidad del Consumidor de California; CCPA). Garantiza a los consumidores ciertos derechos, por ejemplo, a inspeccionar y eliminar sus datos, y obliga a las empresas a tomar ciertas precauciones de seguridad al tratar los datos personales. Con la CCPA y el RGPD como modelo, otros estados están empezando a seguir su ejemplo en materia de protección de datos. Sin embargo, la protección adecuada sigue siendo escasa. 11