Datos de carácter personal / Personally identifiable information

EN CONSTRUCCION

  • Legislación
  • Estandarización
  • Buenas prácticas

DESAFÍOS

DATOS DE CARÁCTER PERSONAL
La Dirección suele incomprender que es un dato de caracter personal (DCP), lo que suele traer consecuencias desastrosas. La legislación aplicable lo define claramente: cualquier información concerniente a personas físicas identificadas o identificables. El propio nombre arrastra a la incomprensión: los DCP no son solo características de la persona o sus datos identificativos. Es toda aquella información que se vincula a la persona; lamentablemente el nombre dado produce despiste. Tal vez "datos asociados a personas" crease menos pérdida de foco. Tambien debe recordarse que un determinado dato puede ser DCP para una organización y no serlo para otra, ya que depende si puede llegar a establecer la connexion entre la persona y el dato. Ejemplos:

  • La medida mensual de consumo de agua de la vivienda de una persona: es un DCP para la organización que le factura el consumo, pero no para los demás (salvo tal vez su entidad bancaria).
  • Dirección postal: es DCP para todos con quien tiene contratos, ayuntamientos -censo, etc.; por lo general no lo serán para el resto, salvo que existan directories accesibles.

¿Lo sera una matrícula de vehículo? … pues sí, como bien indica la AGPD en su Tercera Sesión Abierta: "El número de matrícula de un vehículo es un dato personal, ya que puede asociarse a una persona identificable sin un esfuerzo desproporcionado, acudiendo al Registro de Vehículos regulado por el RD 2822/1998, de 23 de diciembre, de titularidad de la Dirección General de Tráfico, cuya finalidad esencial es la identificación del titular, para lo cual únicamente será necesaria la invocación del interés legítimo del solicitante (Informe de Gabinete Jurídico 0425/2006 en aptdo. Web “Conceptos Generales”).

LÍMITES A DATOS Y TRATAMIENTOS

Mucho se ha escrito sobre las limitaciones e impedimentos que las empresas sufren en España -dañando su negocio- debido a la legislación sobre protección a los datos de caracter personal. Personalmente, disiento de que haya restricciones reales salvo las incompatibles con la ética, usos ilegítimos y en suma una aborrecible no gestión excelente en contra de toda práctica RSC; se puede opinar si los requisitos son costosos o no; pero realmente, cumpliendo con los aspectos formales (inscripción del tratamiento, derechos "ARCO" inter alia), desplegando las medidas de seguridad apropiadas, respetando los derechos de los menores y siempre dentro de finalidades legítimas, todo tratamiento es viable. Eso sí, sujeto a información al interesado y consentimiento en su caso.

Sin embargo, hay una cierta tendencia a exigir y elaborar datos más allá de los adecuados, pertinentes y no excesivos. Así como emplearlos para fines incompatibles (o sea, distintos de para aquellos por los que se recabaron).

Dentro de las mejores prácticas actuales relativas a datos de caracter personal (donde se incluyan los aspectos integrales de ciclo de vida de los datos y los tratamientos - ver por ejemplo el resumen del trabajo del grupo de regulación de Autelsi en el que participé) habrá de tenerse muy en cuenta los aspectos de datos no excesivos y finalidades incompatibles.

Respecto a datos no excesivos, una buena aproximación es pasar una comprobación antes de la inscripción: identificar que datos se solicitan (y cuales se añaden), y demandar a quienes piden que se traten justificación dato a dato. Así, por ejemplo, obligar a los interesados a indicar si se es fémina o varón (o indirectamente, trato de Sr/Sa), es absolutamente innecesario para la mayoría de las relaciones B2C. Por otra parte, pocos tratamientos legítimos (además del supuesto uso para cortesía) pueden asociarse a dicho dato.

Respecto a finalidades incompatibles, respetar los derechos conlleva una pequeña pesadillaa. La tentación o la falta de conocimiento legislativo o una información inadecuadamente estructurada son los riesgos existentes. Una buena aproximación es mantener un diccionario que refleje cada tipo de dato tratado con que finalidad (y tratamiento inscrito) ha sido recabado/generado; así se puede consultar y evitar usos indebidos.

Al hilo de esto, además de como abordar el uso de DCP en elecciones sindicales, un ejemplo práctico sobre como evitar el uso excesivo de DCP, déficit de proteción y las finalidades incompatibles: elecciones Comité de Empresa


NOVEDADES

PREVENCIÓN DE BLANQUEO DE CAPITAL

O como lo llaman unos buenos amigos, con una traducción más literal del inglés, prevención del lavado de dinero. Sin embargo, a la fecha sería más preciso llamarlo prevención de blanqueo de activos (assets), ya que no solo se "lavan" los billetes.

El día 5 de Junio de 2015 se ha publicado en el Diario Oficial de la Unión Europea la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) n° 648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la Directiva 2006/70/CE de la Comisión (Texto pertinente a efectos del EEE), vulgarmente conocida como la 4ª Directiva AML (de Anti Money Laundering).

La actual Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo se basa en la ahora derogada 3ª Directiva AML (Directiva 2005/60/CE). Por tanto nuestra 10/2010 -al menos su redacción actual- tiene fecha de caducidad, ya que antes del 26 de junio de 2017 deberá estar traspuesta la 4ª Directiva AML. Así tambien el Reglamento asociado: Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

Nuestra 10/2010 y reglamento ya incluían provisiones en relación a los datos de carácter personal, cosa que no hacía la 3ªD-AML. La 4ªD-AML incluye provisiones específicas que conviene conocer, y que comento en detalle en requisitos sobre el tratamiento de datos de carácter personal en relación a la prevención de blanqueo de capital.


DESENCUENTROS

DERECHO DE CANCELACIÓN

Cuando una persona física pide cortar una relación con una organización, pocas son las organizaciones que le informan que sus DCP son cancelados. Menos personas entienden que ello no implica que los DCP se borren, solamente que no serán usados de ahí en adelante -las organizaciones tienen derecho a conservarlos por el tiempo necesario para proteger sus derechos. Pero solo las organizaciones excelentes borran de forma efectiva los datos pasado dicho tiempo de retención. De hecho, es una pesadilla borrar datos cancelados de soportes de respaldo.

Cuando una persona física pide ejercer su derecho de cancelación de ciertos DCP, salvo que sean de servicios "accesorios" ello suele implicar cortar la relación con la organización. Las prácticas excelentes aconsejan informar al interesado de dicho hecho junto con la contestación al ejercicio de su derecho de cancelación. Ahora bien, la notificación debería incluir información de que sus datos quedan incluidos en un tratamiento (inscrito por supuesto) relative al ejercicio de derechos "ARCO", ya que la organización debe poder demostrar que atiende diligentemente dichos derechos.

¡Qué contrasentido! Pedir que "te saquen" de un fichero "te mete" en otro… no hay forma de eliminar los DCP nuestros que tenga una organización @#%$!

TUTELA DE DERECHOS Y PRIVACIDAD

Si consideramos que las organizaciones no atienden nuestros derechos DCP, podemos solicitar tutela a la AGPD.

Para ello debe suministrar: Nombre y apellidos, NIF/NIE, domicilio, país, provincia, localidad y código postal.

La pregunta es … ¿que derechos tiene -en términos de DCP- quien solicita la tutela?

No he sido capaz de localizar una política de la AGPD al respecto. Sé que todas las actividades de investigación/inspecciones derivadas resultan en una resolución publicada, si bien la AGPD anonimiza la misma.

No obstante, a título de ejemplo:

  • Las resoluciones de la AGPD se publican en su web. Entre ellas, se encuentra la "E/03125/2012", que se puede buscar en la web de la AGPD introduciendo en el buscador "E/03125/2012".
  • Una busqueda en google de "E/03125/2012 resolución aepd BOE" nos lleva a la página del BOE "Resolución de la Agencia Española de Protección de Datos por la que se procede a la notificación de Resoluciones de Procedimientos Sancionadores y Resoluciones de Archivos" que nos indica nombre apellidos y NIF de quien interpuso la dicha reclamación.

¡Este es un botón de muestra de los peligros asociados a la anonimización inesperadamente imperfecta!


Carlos Bachmaier
http://www.linkedin.com/in/carlosbachmaier
Último cambio el 15 Jun 2015 14:56


Mis actividades y novedades: visita mi blog

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License