Las leyes sobre protección de datos tienen por objeto asegurar los derechos y libertades fundamentales de las personas físicas en cuanto a su privacidad. Para ello se centra en el tratamiento y la libre circulación de los datos personales por parte de entidades privadas o Administraciones públicas.
Hasta la
publicación del Reglamento 2016/679/UE, de 27 de abril, Protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE,
existían algunas dudas sobre qué datos personales debían tenerse en cuenta para
ser protegidos legalmente. No era suficiente la definición de la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, artículo
3, que establecía: “cualquier información concerniente a personas
físicas identificadas o identificables”. Fue la Agencia Española de
Protección de Datos la encargada de establecer una serie de criterios que orientaban a los
responsables de los ficheros. También la Doctrina de la Audiencia Nacional, el
Tribunal Supremo y el Tribunal Constitucional abrieron camino en la
interpretación del artículo 3. Tal fue el caso de la Audiencia Nacional en
su Sentencia de 8 de marzo de 2002, procedimiento ordinario 948/2000,
cuando trató la cuestión de qué datos debían servir para hacer a una persona
identificable: “para que exista un dato de carácter personal no es
imprescindible una plena coincidencia entre el dato y una persona concreta,
sino que es suficiente con que tal identificación pueda efectuarse sin
esfuerzos desproporcionados... Para determinar si una persona es identificable,
hay que considerar el conjunto de los medios que puedan ser razonablemente
utilizados por el responsable del tratamiento o por cualquier otra persona,
para identificar a dicha persona”. La Sentencia se refería a datos como
números de teléfono, direcciones IP, direcciones de correo electrónico, etc.
que en sí mismos no identifican a una persona pero dan información necesaria
para reconocerla con medios razonables.
Posteriormente
el Real Decreto 1720/2007, de 21 diciembre, que aprueba el Reglamento
de desarrollo de la Ley Orgánica 15/1999, de 13-12-1999, de protección de datos
de carácter personal, amplió la lista para hacer identificable a una
persona incluyendo “información numérica, alfabética, gráfica, fotográfica,
acústica o de cualquier otro tipo concerniente a personas físicas identificadas
o identificables” (art. 5). Por tanto, no solo un número de
Documento Nacional de Identidad, un número de teléfono, una dirección de correo
electrónico o una dirección IP se consideraban datos de carácter personal.
También:
- Fotografías
- Vídeos
- Audios
- Escritura manual
- Fotografías
- Vídeos
- Audios
- Escritura manual
Con el
rápido avance de las nuevas tecnologías (Big Data, iCloud, Internet de las
cosas, Wareables), la globalización, el aumento del ciberespionaje y el gran
volumen de información que se va recopilando e intercambiando en servidores de
todo el mundo por parte de operadores públicos y privados, era necesario
adaptar la legislación dentro de la Unión Europea y crear una especie de
“escudo” a la privacidad. Para ello se puso en marcha el Reglamento
2016/679/UE, de 27 de abril, Protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos y por el que se deroga la Directiva 95/46/CE. Su artículo
4.1) entiende como información para determinar la identidad de una
persona física: “un número de identificación, datos de localización, un
identificador en línea o uno o varios elementos propios de la identidad física,
fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
Por tanto,
podríamos encuadrar dentro del derecho a la privacidad los:
- Datos biométricos (iris, patrones
faciales, huellas dactilares, etc.)
- Datos genéticos
- Datos conductuales (trazo y
velocidad de la firma en un soporte informático; patrones de conducta a la hora
de consultar en buscadores, navegar por las redes sociales o por páginas web;
el registro de los movimientos corporales, ritmo cardíaco o ciclos del sueño a
través de dispositivos incorporados al cuerpo (Wareable))
- Datos de geolocalización
La lista
puede continuar a medida que la tecnología avanza, aumentando con ello el
número de datos que pueden pertenecer a la esfera privada.
Actualmente,
aunque las empresas que ofrecen servicios gratuitos en internet recopilan
grandes cantidades de datos personales para ofrecer un mejor y personalizado servicio,
lo cierto es que aumenta el número de empresas privadas que se dedican única y
exclusivamente a guardar toda la información posible que circula por Internet a
modo de copia de seguridad. La información, a pesar de parecer estar disociada,
que no permite identificar a una persona, son muchas las herramientas de
tratamiento y análisis que permiten reconocer a una persona y elaborar
distintos perfiles para un posterior uso. Depende de una eficiente regulación
jurídica para que ese tratamiento de datos personales no afecten a los derechos
fundamentales.