Ámbito Administrativo
Legislación administrativa de protección de datos
La regulación de la protección de datos ha dado un giro desde de la aprobación en 2018 de la Ley Orgánica de Protección de Datos personales y garantía de los derechos digitales, que pretende adaptar la normativa española al Reglamento de la Unión Europea (UE) de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
El Reglamento consigna en la exposición de las razones que justifican su aprobación, que “los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas», entre otros.
Además, el reglamento europeo establece unas categorías especiales de datos personales (Artículo 9), prohibiendo “el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”. Otra previsión relevante del Reglamento es que establece el derecho a una indemnización y de atribución de responsabilidad cuando una persona “haya sufrido daños y perjuicios materiales o inmateriales” por la infracción del Reglamento (Artículo 82).
La Ley Orgánica 3/2018 estatal, inspirada en ese reglamento europeo, articula la protección de datos en base al consentimiento de la persona (Artículo 6), definiéndola como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. En el caso de las personas menores, el consentimiento podrá prestarse des de los 14 años (Artículo 7). Por datos personales, se entenderá “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
La Ley Orgánica estatal, en cuanto a ejercicio de derechos esta ley, prevé que «el responsable del tratamiento estará obligado a informar al afectado sobre los medios a su disposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado. El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio” (Artículo 12.1). También prevé el derechos de supresión (Artículo 17). Dentro de las obligaciones generales del responsable del tratamiento de los datos, prevé su pro actividad en la adopción de medidas que tomen en cuenta el riesgo de que el tratamiento pueda “generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados” o de que “pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.” (Artículo 28). La Ley Orgánica estatal remite al Reglamento europeo para la determinación de las infracciones (Artículo 83) que consistirán en “los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica.” y la determinación del importe de las multas (Artículo 71). La Ley prevé las sanciones y medidas correctivas en su Artículo 76 y los plazos de prescripción de las infracciones en el Artículo 78. Otra previsión relevante de la Ley Orgánica estatal, es la posibilidad de rectificar los datos publicados en Internet (Artículo 85). El Artículo 85, prevé que “los responsables de redes sociales y servicios equivalentes adoptarán protocolos adecuados para posibilitar el ejercicio del derecho de rectificación ante los usuarios que difundan contenidos que atenten contra el derecho al honor, la intimidad personal y familiar en Internet y el derecho a comunicar o recibir libremente información veraz, atendiendo a los requisitos y procedimientos previstos en la Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación. Cuando los medios de comunicación digitales deban atender la solicitud de rectificación formulada contra ellos deberán proceder a la “publicación en sus archivos digitales de un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo. Dicho aviso deberá aparecer en lugar visible junto con la información original”. También se prevé el derecho de actualización de informaciones en medios de comunicación digitales (Artículo 86), según el cual “toda persona tiene derecho a solicitar motivadamente de los medios de comunicación digitales la inclusión de un aviso de actualización suficientemente visible junto a las noticias que le conciernan cuando la información contenida en la noticia original no refleje su situación actual como consecuencia de circunstancias que hubieran tenido lugar después de la publicación, causándole un perjuicio. En particular, procederá la inclusión de dicho aviso cuando las informaciones originales se refieran a actuaciones policiales o judiciales que se hayan visto afectadas en beneficio del interesado como consecuencia de decisiones judiciales posteriores. En este caso, el aviso hará referencia a la decisión posterior».(Artículo 86) En cuanto a las personas menores de edad, la Ley Orgánica estatal para protegerlos, prevé que “la utilización o difusión de imágenes o información personal de menores en las redes sociales y servicios de la sociedad de la información equivalentes que puedan implicar una intromisión ilegítima en sus derechos fundamentales determinará la intervención del Ministerio Fiscal, que instará las medidas cautelares y de protección previstas en la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor”. “Los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información. Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes deberán contar con el consentimiento del menor o sus representantes legales» (Artículo 92). Las personas menores también tiene un régimen específico de derecho al olvido en contenidos publicados en las redes sociales. El Artículo prevé que “en caso de que el derecho se ejercitase por un afectado respecto de datos que hubiesen sido facilitados al servicio, por él o por terceros, durante su minoría de edad, el prestador deberá proceder sin dilación a su supresión por su simple solicitud, sin necesidad de que concurran las circunstancias mencionadas en el apartado 2.” (Artículo 94.3) -Derecho de cancelación El llamado “derecho al olvido”, frecuentemente da lugar a confusión sobre el alcance del mismo. La Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) (2014), estableció que el tratamiento de datos que realizan los buscadores está sometido a las normas de protección de datos de la Unión Europea. Ello se traduce en el hecho que cuando se la información sobre la persona que arroje el buscador, en la búsqueda realizada a partir del nombre de esta, permitirá que la persona pueda solicitar, bajo ciertas condiciones, que los enlaces a sus datos personales no figuren en los resultados de la búsqueda. En caso contrario, dará derecho a que la persona pueda acudir a las autoridades para conseguir que se eliminen esos enlaces de la lista de resultados arrojada por el buscador. El tribunal adopta esta decisión porque cualquier internauta que realice una búsqueda a partir del nombre de una persona física obtiene, a través de la lista de resultados, una visión estructurada de la información relativa a esa persona que circula en Internet. Esta información, afecta potencialmente a una multitud de aspectos de la vida privada y que, sin el motor de búsqueda, no se habrían interconectado. En la práctica, ello afecta sólo a los resultados de las búsquedas y no implica que la página deba ser suprimida de los índices del buscador ni de la fuente original. El enlace que se muestra en el buscador sólo dejará de ser visible cuando la búsqueda se realice a través del nombre de la persona que ejerció su derecho. Las fuentes permanecen inalteradas y el resultado se seguirá mostrando cuando la búsqueda se realice por cualquier otra palabra o término distinta al nombre del afectado. La Agencia de Protección de Datos ofrece información sobre las reclamaciones para ejercitar el “derecho al olvido”, y sintetiza los criterios para hacer efectivo el mismo. Existen algunas webs útiles para acceder a información más detallada sobre el “derecho al olvido”. Por otra parte, la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (2018), contempla algunos artículos sobre ello, el derecho de cancelación estableciendo por ejemplo que en el casos de personas fallecidas, su familiares, allegados y herederos “podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.” (Artículo 3). El derecho al olvido, tiene incluso una previsión específica para datos publicados en redes sociales, estableciendo que “1. toda persona tiene derecho a que sean suprimidos, a su simple solicitud, los datos personales que hubiese facilitado para su publicación por servicios de redes sociales y servicios de la sociedad de la información equivalentes. 2. Toda persona tiene derecho a que sean suprimidos los datos personales que le conciernan y que hubiesen sido facilitados por terceros para su publicación por los servicios de redes sociales y servicios de la sociedad de la información equivalentes cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información. Del mismo modo deberá procederse a la supresión de dichos datos cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los datos por el servicio. Se exceptúan de lo dispuesto en este apartado los datos que hubiesen sido facilitados por personas físicas en el ejercicio de actividades personales o domésticas.” (Artículo 94). -Responsabilidad de las empresas gestoras de las Redes Sociales Las empresas que gestionan las plataformas de redes sociales, se rigen por la doctrina del “conocimiento efectivo”. Ello supone, que no se les considera responsables de los contenidos publicados por terceros que alojen, salvo cuando tengan conocimiento efectivo de que esos contenidos pueda atentar contra los derechos de terceros, sea des del punto de vista honorifico o delictivo. Ese régimen de responsabilidad incluye la opción de poder denunciar/reportar con facilidad a la empresa la existencia de contenidos ilícitos.