Una definición amplia de datos, archivos y su procesamiento

Extracto del libro de Bruno DUMAY: DESCRIPCIÓN DEL RGPD – Para directivos, departamentos estratégicos y empleados de empresas y organizaciones – Prólogo de Gaëlle MONTEILLER

Creemos saber qué son los datos personales (cabe destacar que el término no se usa en singular, probablemente porque es necesario recopilar al menos dos datos —un nombre y una dirección, por ejemplo— para comenzar a procesarlos). Pero, para evitar errores, tengamos en cuenta la definición formulada en el artículo 4 del Reglamento: «toda información relativa a una persona física identificada o identificable; se considera “persona física identificable” toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o más elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

Si bien la redacción no es muy fluida, no deja lugar a dudas sobre el sentido amplio del término. «Cualquier información» asociada a una persona constituye datos personales. La lista de adjetivos asociados a la «identidad» de la persona subraya, si es necesario, el alcance del término «información». 

La CNIL aclaró el concepto de datos personales en un comentario al artículo 2 de la Ley de Protección de Datos: «Los datos se consideran «personales» cuando se refieren a personas físicas identificadas directa o indirectamente. Una persona está identificada cuando, por ejemplo, su nombre aparece en un fichero.»

Una persona es identificable cuando un archivo contiene información que indirectamente permite su identificación (p. ej.: dirección IP, nombre, número de registro, número de teléfono, fotografía, elementos biométricos como la huella dactilar, ADN, Número Nacional de Identificación Estudiantil (INE), conjunto de información que permite discriminar a una persona dentro de una población (ciertos archivos estadísticos) como, por ejemplo, lugar de residencia, profesión, sexo y edad). Los datos que podría considerar anónimos pueden constituir datos personales si permiten identificar a una persona específica indirectamente o mediante información de referencia cruzada. De hecho, puede tratarse de información que no está asociada al nombre de una persona, pero que permite identificarla fácilmente y conocer sus hábitos o gustos.

En este sentido, se consideran datos personales también toda información que, al cruzarse entre sí, permita identificar a una persona concreta (por ejemplo, una huella dactilar, un ADN, una fecha de nacimiento asociada a un municipio de residencia)...

El RGPD excluye de su ámbito de aplicación las actividades de los Estados relacionadas con su seguridad (16^mi Considerando), y, por supuesto, las actividades de carácter puramente nacional (art. 2). Por otro lado, el reglamento se aplica a todas las empresas (y administraciones, organizaciones y asociaciones) que tratan datos de ciudadanos europeos, estén o no establecidas en el continente. De igual modo, si una empresa recurre a un subcontratista con sede fuera de la UE, este también debe actuar en cumplimiento (art. 3).

Dado que estos datos se almacenan en archivos, cabe destacar la definición de este término: «cualquier conjunto estructurado de datos personales accesible según criterios específicos, ya sea centralizado, descentralizado o distribuido funcional o geográficamente». De nuevo, es evidente que no podemos ser astutos al intentar almacenar datos en bases de datos que no podrían considerarse «archivos». No solo nuestra herramienta sería reclasificada, sino que la autoridad de control, sin duda, lo consideraría una circunstancia agravante.

De igual modo, un artesano que se resiste a la informatización y que conserva los expedientes de sus clientes en papel y en orden alfabético no puede eludir el RGPD (art. 2, apartado 1).

Debido a que están destinados a ser procesados, los datos que constituyen los archivos deben protegerse. ¿Qué es el procesamiento? «Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recopilación, registro, organización, estructuración, almacenamiento, adaptación o modificación, extracción, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, restricción, supresión o destrucción» (art. 4, párr. 2). La lista de términos es casi exhaustiva: en cuanto tocamos datos, los procesamos y, por lo tanto, estamos sujetos al reglamento. A fortiori, la elaboración de perfiles (el procesamiento de datos para evaluar o predecir el comportamiento) debe ser rigurosamente supervisada.

El RGPD recomienda la seudonimización siempre que sea posible, de modo que los datos ya no puedan atribuirse a una persona física sin utilizar información adicional. «La seudonimización de los datos personales puede reducir los riesgos para los interesados y ayudar a los responsables y encargados del tratamiento a cumplir con sus obligaciones en materia de protección de datos» (28).^mi en vista de).  

El control sobre el tratamiento se ve sometido a un control máximo, ya que trasciende las fronteras. De hecho, los datos transferidos fuera de la Unión Europea siguen sujetos a la legislación europea, tanto para la transferencia como para cualquier tratamiento posterior. Cabe preguntarse también si podrían surgir litigios, en particular con China o Estados Unidos. Para informar con antelación a los socios establecidos fuera de la UE, el reglamento recomienda la firma de normas corporativas vinculantes (NCV) o la adopción de cláusulas contractuales tipo, validadas por el organismo europeo.

Finalmente, aclaremos que una violación de datos personales es una «vulneración de la seguridad que ocasione la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a datos personales transmitidos, almacenados o tratados de otro modo» (art. 4, párr. 12). Por lo tanto, el término debe entenderse en un sentido muy amplio.