Nota de actualización:
El día 6 de diciembre de 2018 se aprobó en España la "Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales". Dicha ley, tal y como establece en su artículo 1, adapta la ley europea a la Española y añade nuevos derechos digitales. Sin embargo no establece definiciones de conceptos concretos, por lo que he decidido mantener las definiciones de la LOPD de 1999 y el Reglamento de la LOPD para permitir una mejor comprensión de este vocabulario sin afectar a lo establecido en la nueva ley.
Las nuevas tecnologías exigen redefinir jurídicamente conceptos nuevos, más comprensibles y claros. Conforme se han aprobado las distintas leyes en materia de privacidad y protección de datos más conceptos nuevos han surgido o detallado, por lo que es necesario consultar distintas fuentes. Por este motivo, he reunido y actualizado todos los conceptos oficiales contenidos en la legislación europea y española para hacer más accesible su significado.
Algunas
definiciones están contenidas en una o más leyes, por lo que he numerado cada
ley para luego asociarlo a la definición correspondiente.
(1) Ley
Orgánica 15/1999, de 13 de diciembre, Regula la Protección de Datos de Carácter
Personal
(2) Real
Decreto 1720/2007, de 21 de diciembre, Aprueba el Reglamento de desarrollo de
la Ley Orgánica 15/1999, de 13-12-1999 (RCL 1999\3058), de protección de datos
de carácter personal
(3)
Reglamento 2016/679/UE, de 27 de abril, Protección de las personas físicas en
lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos y por el que se deroga la Directiva 95/46/CE
________________________
Accesos
autorizados: autorizaciones concedidas a un usuario para la
utilización de los diversos recursos. En su caso, incluirán las autorizaciones o
funciones que tenga atribuidas un usuario por delegación del responsable del
fichero o tratamiento o del responsable de seguridad. (2)
Afectado o
interesado: persona física titular de los datos que sean objeto
del tratamiento a que se refiere el apartado c) del presente artículo. (1)
Persona física titular de los datos que sean objeto
del tratamiento. (2)
Autenticación:
procedimiento de comprobación de la identidad de un usuario. (2)
Autoridad de
control: la autoridad pública independiente establecida por
un Estado miembro con arreglo a lo dispuesto en el artículo 51. (3)
Autoridad de
control interesada: la autoridad de control a la que afecta el
tratamiento de datos personales debido a que:
a) el
responsable o el encargado del tratamiento está establecido en el territorio
del Estado miembro de esa autoridad de control;
b) los
interesados que residen en el Estado miembro de esa autoridad de control se ven
sustancialmente afectados o es probable que se vean sustancialmente afectados
por el tratamiento, o
c) se ha presentado una reclamación ante esa autoridad
de control. (3)
Cancelación:
Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La
cancelación implicará el bloqueo de los datos, consistente en la identificación
y reserva de los mismos con el fin de impedir su tratamiento excepto para su
puesta a disposición de las Administraciones públicas, Jueces y Tribunales,
para la atención de las posibles responsabilidades nacidas del tratamiento y
sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido
ese plazo deberá procederse a la supresión de los datos. (2)
Cesión o
comunicación de datos: toda revelación de datos realizada a una persona
distinta del interesado. (1)
Tratamiento de datos que supone su revelación a una
persona distinta del interesado. (2)
Consentimiento
del interesado: toda manifestación de voluntad, libre, inequívoca,
específica e informada, mediante la que el interesado consienta el tratamiento
de datos personales que le conciernen. (1)
Toda manifestación de voluntad, libre, inequívoca,
específica e informada, mediante la que el interesado consienta el tratamiento
de datos personales que le conciernen. (2)
Toda manifestación de voluntad libre, específica,
informada e inequívoca por la que el interesado acepta, ya sea mediante una
declaración o una clara acción afirmativa, el tratamiento de datos personales
que le conciernen. (3)
Contraseña:
información confidencial, frecuentemente constituida por una cadena de
caracteres, que puede ser usada en la autenticación de un usuario o en el
acceso a un recurso. (2)
Control de
acceso: mecanismo que en función de la identificación ya
autenticada permite acceder a datos o recursos. (2)
Copia de
respaldo: copia de los datos de un fichero automatizado en
un soporte que posibilite su recuperación. (2)
Datos de
carácter personal: cualquier información concerniente a personas
físicas identificadas o identificables. (1)
Cualquier información numérica, alfabética, gráfica,
fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas
identificadas o identificables. (2)
[datos personales] Toda información sobre una persona
física identificada o identificable («el interesado»); se considerará persona
física identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un identificador, como por ejemplo un
nombre, un número de identificación, datos de localización, un identificador en
línea o uno o varios elementos propios de la identidad física, fisiológica,
genética, psíquica, económica, cultural o social de dicha persona (3)
Datos de
carácter personal relacionados con la salud: las informaciones
concernientes a la salud pasada, presente y futura, física o mental, de un
individuo. En particular, se consideran datos relacionados con la salud de las
personas los referidos a su porcentaje de discapacidad y a su información
genética. (2)
Dato
disociado: aquél que no permite la identificación de un
afectado o interesado. (2)
Datos biométricos: datos
personales obtenidos a partir de un tratamiento técnico específico, relativos a
las características físicas, fisiológicas o conductuales de una persona física
que permitan o confirmen la identificación única de dicha persona, como
imágenes faciales o datos dactiloscópicos. (3)
Datos
genéticos: datos personales relativos a las características
genéticas heredadas o adquiridas de una persona física que proporcionen una
información única sobre la fisiología o la salud de esa persona, obtenidos en
particular del análisis de una muestra biológica de tal persona. (3)
Datos
relativos a la salud: datos personales relativos a la salud física o
mental de una persona física, incluida la prestación de servicios de atención
sanitaria, que revelen información sobre su estado de salud. (3)
Destinatario
o cesionario: la persona física o jurídica, pública o privada u
órgano administrativo, al que se revelen los datos.
Podrán ser también destinatarios los entes sin
personalidad jurídica que actúen en el tráfico como sujetos diferenciados. (2)
La persona física o jurídica, autoridad pública,
servicio u otro organismo al que se comuniquen datos personales, se trate o no
de un tercero. No obstante, no se considerarán destinatarios las autoridades
públicas que puedan recibir datos personales en el marco de una investigación
concreta de conformidad con el Derecho de la Unión o de los Estados miembros;
el tratamiento de tales datos por dichas autoridades públicas será conforme con
las normas en materia de protección de datos aplicables a los fines del
tratamiento. (3)
Documento: todo
escrito, gráfico, sonido, imagen o cualquier otra clase de información que
puede ser tratada en un sistema de información como una unidad diferenciada.
(2)
Elaboración
de perfiles: toda forma de tratamiento automatizado de datos
personales consistente en utilizar datos personales para evaluar determinados
aspectos personales de una persona física, en particular para analizar o
predecir aspectos relativos al rendimiento profesional, situación económica,
salud, preferencias personales, intereses, fiabilidad, comportamiento,
ubicación o movimientos de dicha persona física. (3)
Empresa: persona
física o jurídica dedicada a una actividad económica, independientemente de su
forma jurídica, incluidas las sociedades o asociaciones que desempeñen
regularmente una actividad económica. (3)
Encargado
del tratamiento: la persona física o jurídica, autoridad pública,
servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate
datos personales por cuenta del responsable del tratamiento. (1)
La persona
física o jurídica, pública o privada, u órgano administrativo que, solo o
conjuntamente con otros, trate datos personales por cuenta del responsable del
tratamiento o del responsable del fichero, como consecuencia de la existencia
de una relación jurídica que le vincula con el mismo y delimita el ámbito de su
actuación para la prestación de un servicio.
Podrán ser también encargados del tratamiento los
entes sin personalidad jurídica que actúen en el tráfico como sujetos
diferenciados. (2)
La persona física o jurídica, autoridad pública,
servicio u otro organismo que trate datos personales por cuenta del responsable
del tratamiento. (3)
Establecimiento
principal: a) en lo que se refiere a un responsable del
tratamiento con establecimientos en más de un Estado miembro, el lugar de su
administración central en la Unión, salvo que las decisiones sobre los fines y
los medios del tratamiento se tomen en otro establecimiento del responsable en
la Unión y este último establecimiento tenga el poder de hacer aplicar tales
decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones
se considerará establecimiento principal;
b) en lo que se refiere a un encargado del tratamiento
con establecimientos en más de un Estado miembro, el lugar de su administración
central en la Unión o, si careciera de esta, el establecimiento del encargado
en la Unión en el que se realicen las principales actividades de tratamiento en
el contexto de las actividades de un establecimiento del encargado en la medida
en que el encargado esté sujeto a obligaciones específicas con arreglo al
presente Reglamento. (3)
Exportador
de datos personales: la persona física o jurídica, pública o privada, u
órgano administrativo situado en territorio español que realice, conforme a lo
dispuesto en el presente Reglamento, una transferencia de datos de carácter
personal a un país tercero. (2)
Extracción: la
transferencia permanente o temporal de la totalidad o de una parte sustancial
del contenido de una base de datos a otro soporte cualquiera que sea el medio
utilizado o la forma en que se realice. (3)
Fabricante
de la base de datos: la persona natural o jurídica que toma la
iniciativa y asume el riesgo de efectuar las inversiones sustanciales
orientadas a la obtención, verificación o presentación de su contenido. (3)
Fichero: todo
conjunto organizado de datos de carácter personal, cualquiera que fuere la
forma o modalidad de su creación, almacenamiento, organización y acceso. (1)
Todo conjunto organizado de datos de carácter
personal, que permita el acceso a los datos con arreglo a criterios
determinados, cualquiera que fuere la forma o modalidad de su creación,
almacenamiento, organización y acceso. (2)
Todo conjunto estructurado de datos personales,
accesibles con arreglo a criterios determinados, ya sea centralizado,
descentralizado o repartido de forma funcional o geográfica. (3)
Ficheros de
titularidad privada: los ficheros de los que sean responsables las
personas, empresas o entidades de derecho privado, con independencia de quien
ostente la titularidad de su capital o de la procedencia de sus recursos
económicos, así como los ficheros de los que sean responsables las
corporaciones de derecho público, en cuanto dichos ficheros no se encuentren
estrictamente vinculados al ejercicio de potestades de derecho público que a
las mismas atribuye su normativa específica. (2)
Ficheros de
titularidad pública: los ficheros de los que sean responsables los
órganos constitucionales o con relevancia constitucional del Estado o las
instituciones autonómicas con funciones análogas a los mismos, las
Administraciones públicas territoriales, así como las entidades u organismos
vinculados o dependientes de las mismas y las Corporaciones de derecho público
siempre que su finalidad sea el ejercicio de potestades de derecho público. (2)
Fichero no
automatizado: todo conjunto de datos de carácter personal
organizado de forma no automatizada y estructurado conforme a criterios específicos
relativos a personas físicas, que permitan acceder sin esfuerzos
desproporcionados a sus datos personales, ya sea aquél centralizado,
descentralizado o repartido de forma funcional o geográfica. (2)
Ficheros
temporales: ficheros de trabajo creados por usuarios o procesos
que son necesarios para un tratamiento ocasional o como paso intermedio durante
la realización de un tratamiento. (2)
Fuentes
accesibles al público: aquellos ficheros cuya consulta puede ser realizada,
por cualquier persona, no impedida por una norma limitativa o sin más
exigencias que, en su caso, el abono de una contraprestación. Tienen
consideración de fuentes de acceso público, exclusivamente, el censo
promocional, los repertorios telefónicos en los términos previstos por su
normativa específica y las listas de personas pertenecientes a grupos de
profesionales que contengan únicamente los datos de nombre, título, profesión,
actividad, grado académico, dirección e indicación de su pertenencia al grupo.
Asimismo, tienen el carácter de fuentes de acceso público los diarios y
boletines oficiales y los medios de comunicación. (1)
Grupo
empresarial: grupo constituido por una empresa que ejerce el
control y sus empresas controladas. (3)
Identificación:
procedimiento de reconocimiento de la identidad de un usuario. (2)
Importador
de datos personales: la persona física o jurídica, pública o privada, u
órgano administrativo receptor de los datos en caso de transferencia
internacional de los mismos a un tercer país, ya sea responsable del
tratamiento, encargada del tratamiento o tercero. (2)
Incidencia:
cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.
(2)
Limitación
del tratamiento: el marcado de los datos de carácter personal
conservados con el fin de limitar su tratamiento en el futuro. (3)
Normas
corporativas vinculantes: las políticas de protección de datos
personales asumidas por un responsable o encargado del tratamiento establecido
en el territorio de un Estado miembro para transferencias o un conjunto de
transferencias de datos personales a un responsable o encargado en uno o más
países terceros, dentro de un grupo empresarial o una unión de empresas
dedicadas a una actividad económica conjunta. (3)
Objeción
pertinente y motivada: la objeción a una propuesta de decisión sobre la
existencia o no de infracción del presente Reglamento, o sobre la conformidad
con el presente Reglamento de acciones previstas en relación con el responsable
o el encargado del tratamiento, que demuestre claramente la importancia de los
riesgos que entraña el proyecto de decisión para los derechos y libertades
fundamentales de los interesados y, en su caso, para la libre circulación de
datos personales dentro de la Unión. (3)
Organización
internacional: una organización internacional y sus entes
subordinados de Derecho internacional público o cualquier otro organismo creado
mediante un acuerdo entre dos o más países o en virtud de tal acuerdo. (3)
Perfil de
usuario: accesos autorizados a un grupo de usuarios. (2)
Persona identificable: toda
persona cuya identidad pueda determinarse, directa o indirectamente, mediante
cualquier información referida a su identidad física, fisiológica, psíquica,
económica, cultural o social. Una persona física no se considerará
identificable si dicha identificación requiere plazos o actividades
desproporcionados. (2)
Procedimiento
de disociación: todo tratamiento de datos personales de modo que la
información que se obtenga no pueda asociarse a persona identificada o
identificable. (1)
Todo tratamiento de datos personales que permita la
obtención de datos disociados. (2)
Recurso:
cualquier parte componente de un sistema de información. (2)
Representante: persona
física o jurídica establecida en la Unión que, habiendo sido designada por escrito
por el responsable o el encargado del tratamiento con arreglo al artículo 27,
represente al responsable o al encargado en lo que respecta a sus respectivas
obligaciones en virtud del presente Reglamento. (3)
Responsable
del fichero o tratamiento: persona física o jurídica, de naturaleza
pública o privada, u órgano administrativo, que decida sobre la finalidad,
contenido y uso del tratamiento. (1)
Persona
física o jurídica, de naturaleza pública o privada, u órgano administrativo,
que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso
del tratamiento, aunque no lo realizase materialmente.
Podrán ser también responsables del fichero o del
tratamiento los entes sin personalidad jurídica que actúen en el tráfico como
sujetos diferenciados. (2)
La persona física o jurídica, autoridad pública,
servicio u otro organismo que, solo o junto con otros, determine los fines y
medios del tratamiento; si el Derecho de la Unión o de los Estados miembros
determina los fines y medios del tratamiento, el responsable del tratamiento o
los criterios específicos para su nombramiento podrá establecerlos el Derecho
de la Unión o de los Estados miembros. (3)
Responsable
de seguridad: persona o personas a las que el responsable del
fichero ha asignado formalmente la función de coordinar y controlar las medidas
de seguridad aplicables. (2)
Reutilización: toda
forma de puesta a disposición del público de la totalidad o de una parte
sustancial del contenido de la base mediante la distribución de copias en forma
de venta u otra transferencia de su propiedad o por alquiler, o mediante
transmisión en línea o en otras formas. A la distribución de copias en forma de
venta en el ámbito de la Unión Europea le será de aplicación lo dispuesto en el
apartado 2 del artículo 19 de la presente Ley. (3)
Servicio de
la sociedad de la información: todo servicio conforme a la definición del
artículo 1, apartado 1, letra b) , de la
Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo. (3)
Seudonimización: el
tratamiento de datos personales de manera tal que ya no puedan atribuirse a un
interesado sin utilizar información adicional, siempre que dicha información
adicional figure por separado y esté sujeta a medidas técnicas y organizativas
destinadas a garantizar que los datos personales no se atribuyan a una persona
física identificada o identificable. (3)
Sistema de
información: conjunto de ficheros, tratamientos, programas,
soportes y en su caso, equipos empleados para el tratamiento de datos de
carácter personal. (2)
Sistema de
tratamiento: modo en que se organiza o utiliza un sistema de
información. Atendiendo al sistema de tratamiento, los sistemas de información
podrán ser automatizados, no automatizados o parcialmente automatizados. (2)
Soporte: objeto
físico que almacena o contiene datos o documentos, u objeto susceptible de ser
tratado en un sistema de información y sobre el cual se pueden grabar y
recuperar datos. (2)
Tercero: la
persona física o jurídica, pública o privada u órgano administrativo distinta
del afectado o interesado, del responsable del tratamiento, del responsable del
fichero, del encargado del tratamiento y de las personas autorizadas para
tratar los datos bajo la autoridad directa del responsable del tratamiento o
del encargado del tratamiento.
Podrán ser también terceros los entes sin personalidad
jurídica que actúen en el tráfico como sujetos diferenciados. (2)
Persona física o jurídica, autoridad pública, servicio
u organismo distinto del interesado, del responsable del tratamiento, del
encargado del tratamiento y de las personas autorizadas para tratar los datos
personales bajo la autoridad directa del responsable o del encargado. (3)
Transferencia
internacional de datos: Tratamiento de datos que supone una
transmisión de los mismos fuera del territorio del Espacio Económico Europeo,
bien constituya una cesión o comunicación de datos, bien tenga por objeto la
realización de un tratamiento de datos por cuenta del responsable del fichero
establecido en territorio español. (2)
Transmisión
de documentos: cualquier traslado, comunicación, envío, entrega o
divulgación de la información contenida en el mismo. (2)
Tratamiento
de datos: operaciones y procedimientos técnicos de carácter
automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de
datos que resulten de comunicaciones, consultas, interconexiones y
transferencias. (1)
Cualquier operación o procedimiento técnico, sea o no
automatizado, que permita la recogida, grabación, conservación, elaboración,
modificación, consulta, utilización, modificación, cancelación, bloqueo o
supresión, así como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias. (2)
[Tratamiento] cualquier operación o conjunto de
operaciones realizadas sobre datos personales o conjuntos de datos personales,
ya sea por procedimientos automatizados o no, como la recogida, registro,
organización, estructuración, conservación, adaptación o modificación,
extracción, consulta, utilización, comunicación por transmisión, difusión o
cualquier otra forma de habilitación de acceso, cotejo o interconexión,
limitación, supresión o destrucción. (3)
Tratamiento
transfronterizo: a) el tratamiento de datos personales realizado en
el contexto de las actividades de establecimientos en más de un Estado miembro
de un responsable o un encargado del tratamiento en la Unión, si el responsable
o el encargado está establecido en más de un Estado miembro, o
b) el tratamiento de datos personales realizado en el
contexto de las actividades de un único establecimiento de un responsable o un
encargado del tratamiento en la Unión, pero que afecta sustancialmente o es
probable que afecte sustancialmente a interesados en más de un Estado miembro.
(3)
Usuario: sujeto
o proceso autorizado para acceder a datos o recursos. Tendrán la consideración
de usuarios los procesos que permitan acceder a datos o recursos sin
identificación de un usuario físico. (2)
Violación de
la seguridad de los datos personales: toda violación de la
seguridad que ocasione la destrucción, pérdida o alteración accidental o
ilícita de datos personales transmitidos, conservados o tratados de otra forma,
o la comunicación o acceso no autorizados a dichos datos. (3)