Protección de Datos Personales: RGPD y LOPDGDD

Introducción: Un derecho fundamental

La protección de datos personales constituye un derecho fundamental que garantiza la capacidad del ciudadano para disponer y decidir sobre toda la información que a sí mismo se refiera. Este derecho está reconocido tanto en el ordenamiento jurídico europeo como en la Constitución Española.

Todos nuestros datos personales —dirección, números de cuenta bancaria, DNI, certificados, entre otros— deben estar protegidos de manera que no pueda acceder a ellos cualquier persona sin nuestro consentimiento. Esta protección es esencial en la sociedad digital actual, donde la información personal circula constantemente a través de múltiples canales.

Marco legal: El sistema de doble protección

El Reglamento General de Protección de Datos (RGPD)

El Reglamento UE 2016/679, conocido como RGPD, es la norma de referencia a nivel europeo para la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Se trata de un reglamento de aplicación directa en todos los Estados miembros de la Unión Europea.

La Ley Orgánica 3/2018 (LOPDGDD)

En España, la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales adapta el RGPD al ordenamiento jurídico español. Su objetivo principal es garantizar los derechos digitales de la ciudadanía conforme al artículo 18.4 de la Constitución Española, que establece que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos.

Protección de colectivos especiales

Datos de personas fallecidas

La normativa también contempla la protección de los datos de las personas que han fallecido. Las personas vinculadas al fallecido, como sus herederos, pueden dirigirse como responsables encargados del tratamiento de los datos de esa persona por razones familiares. Esto permite gestionar adecuadamente la información personal del difunto.

Menores de edad

El tratamiento de datos de menores tiene reglas específicas:

• Mayores de 14 años: Pueden dar consentimiento por sí mismos para el tratamiento de sus datos personales.
• Menores de 14 años: El consentimiento debe ser otorgado por sus representantes legales (padres o tutores) o por el Ministerio Fiscal.

Esta distinción busca proteger a los menores que no tienen capacidad suficiente para comprender las implicaciones del tratamiento de sus datos.

Principios fundamentales de la protección de datos

Principio de exactitud

El RGPD dispone que los datos de carácter personal serán exactos y, si fuera preciso, actualizados, adoptando las medidas razonables para que se supriman o rectifiquen sin dilación los datos inexactos.

Un ejemplo práctico: cuando caduca el DNI, este debe actualizarse en todos los sistemas donde esté registrado:

• Entidades bancarias
• Certificados digitales
• Administraciones públicas
• Cualquier otro servicio donde se haya facilitado

Además, siempre que se faciliten datos personales, el ciudadano debe recibir una hoja de protección de datos informando sobre el tratamiento.

Principio de confidencialidad

Los responsables y encargados del tratamiento de datos tienen un deber de confidencialidad sobre la información que manejan. Este deber implica que no pueden revelar ni utilizar los datos para fines distintos a los autorizados.

El consentimiento del afectado

Se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica e informada de que sus datos personales van a ser tratados. El consentimiento es la base legitimadora más común para el tratamiento de datos, aunque no la única.

Categorías especiales de datos y no discriminación

Para evitar situaciones discriminatorias, la normativa establece que el solo consentimiento del afectado no basta para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar:

• Ideología política
• Creencias religiosas o filosóficas
• Afiliación sindical
• Origen étnico o racial
• Datos de salud o vida sexual

La protección de datos es igual para todas las personas, independientemente de su nacionalidad, origen o creencias. Si en algún momento se pretende dar un trato desfavorable a una persona, este debe justificarse adecuadamente y no puede basarse en una desprotección arbitraria de sus datos.

Tratamiento por obligación legal o interés público

Existen casos en los que el tratamiento de datos se realiza por obligación legal o interés público. Por ejemplo, cuando se exige un certificado de antecedentes de delitos sexuales para trabajar en centros educativos. Este tratamiento tiene un complemento legal específico y se realiza en ejercicio de los poderes públicos.

Derechos de las personas

El Título III de la LOPDGDD (Ley Orgánica 3/2018) recoge los derechos de las personas con relación a la protección de sus datos. El responsable del tratamiento está obligado a informar sobre los medios que tienen las personas a su disposición, y estos medios deben ser facilitados de manera accesible.

El derecho de acceso (artículo 13 LOPDGDD)

El derecho de acceso del afectado se ejercita de acuerdo con el artículo 15 del RGPD. Es el derecho que tenemos a acceder a nuestra información personal según a quién se la hayamos facilitado.

Información que debe proporcionarse al afectado

Cuando se recogen datos personales, debe informarse sobre:

1. Identidad del responsable del tratamiento y, en su caso, de su representante
2. Finalidad por la que se solicitan los datos
3. Derechos que puede ejercer el afectado (establecidos en los artículos 15 al 22 del RGPD)
4. Si los datos se utilizarán para elaboración de perfiles

Obligaciones de responsables y encargados del tratamiento

Obligaciones generales (artículo 28 LOPDGDD)

Para la adopción de medidas de protección, los responsables y encargados del tratamiento deben tener en cuenta y notificar las siguientes situaciones:

• Cuando el tratamiento pudiera generar situaciones de discriminación
• Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades
• Cuando el tratamiento implicase una evaluación de aspectos personales

La figura del encargado del tratamiento (artículo 33)

El encargado del tratamiento es la figura responsable de que se establezca un acto jurídico conforme al Reglamento de la Unión Europea. En el ámbito del sector público, estas competencias pueden atribuirse a un órgano de la Administración General del Estado.

La Agencia Española de Protección de Datos

El artículo 34 de la LOPDGDD establece que la Agencia Española de Protección de Datos (AEPD) es una autoridad administrativa independiente de las autoridades estatales.

Características principales:

• Es la autoridad de control en el ámbito estatal
• Actúa con independencia de las demás autoridades
• Opera dentro del régimen jurídico del sector público
• Tiene capacidad tanto pública como privada

La AEPD es el organismo encargado de velar por el cumplimiento de la normativa de protección de datos en España, pudiendo imponer sanciones en caso de incumplimiento.

Resumen: Puntos clave

La protección de datos personales es un sistema complejo que combina la normativa europea (RGPD) con la española (LOPDGDD) para garantizar que los ciudadanos tengan control sobre su información personal. Los principios de exactitud y confidencialidad, junto con el requisito del consentimiento informado, constituyen los pilares del sistema. Los derechos de acceso, rectificación, supresión y otros permiten a los ciudadanos ejercer un control efectivo, mientras que las obligaciones de responsables y encargados aseguran que quienes tratan datos lo hagan de forma responsable y transparente.