domingo, 28 de diciembre de 2014

La Protección de Datos en Europa. Conceptos Básicos.(Irlanda VS España)

Hola a tod@s!

Esta semana he querido hacer un stop en la preparación de exámenes de la UNED y lo primero que se me ha ocurrido hacer es buscar la Ley Irlandesa sobre protección de datos para ver cómo llevan en la isla verde esta temática. La elección de Irlanda como tema central de este post no es casualidad, la verdad es que tengo que reconocer que con este país me tira el corazón (confieso que estoy enamorada de este país desde que lo visité por primera vez) y, además, tiene cierto interés como “lopdera”, ya que en Irlanda se encuentra la sede Europea del ojo que todo lo ve (Mr. Google).
Lo primero que me llama la atención es que la Ley Irlandesa es de 1988 y su reglamento de 2003. Teniendo en cuenta que nuestra LOPD acaba de cumplir 15 añitos y el reglamento es de 2007, resulta interesante esta diferencia de antigüedad.
Me he detenido, para este post, en los artículos que dan las definiciones de una y otra Ley, para hacer un texto un poco general sobre las nociones clave, obviando sus respectivos reglamentos de desarrollo (aunque es verdad que en uno de los puntos hago alusión al español para no dejar coja uno de los conceptos). Mi acercamiento a la normativa irlandesa es un poco temerario, ya que es complicado traducir correctamente el sentido y los propios conceptos, así que disculpadme si hay algún error o imprecisión; mi intención es tener una idea general y ver si son muy diferentes ambas normativas en un primer vistazo.
Aquí os dejo mi cuadrito comparativo:

Conceptos
 
Comentarios:
Dato Personal



VS

Personal Data
Cualquier información concerniente a personas físicas identificadas o identificables.
Data: Information in a form in which it can be processed.

Personal Data: Data relating to a living individual who can be identified either from the data or from the data in conjunction with other information in the possession of the data controller
La Ley Irlandesa diferencia entre “dato” y “dato personal”.
Me llama la atención que los irlandeses hagan hincapié en que un dato puede ser calificado como dato personal si, en conjunto con otra información que tenga el Data Controller permite identificar a una persona viva.
Conclusiones:
1) Un dato personal sólo lo será si alude a una persona viva (se excluye a los fallecidos).
2) El legislador irlandés parece querer dar un papel clave a la información que tenga el Data Controller; por lo que entiendo, si éste tiene otras informaciones sobre una persona que pueden ser “cruzadas” con otro tipo de información que tenga sobre el mismo sujeto y todo este batiburrillo acaba en que el sujeto puede ser identificado, será un dato personal.

Responsable del fichero


VS


Data Controller
Persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
A person who, either alone or with others, controls the contents and use of personal data
La ley española habla de decisión sobre la finalidad mientras que la ley irlandesa usa “controls”. Por lo que he podido indagar, el sentido puede ser parecido al nuestro: su Data Controller “mandará” sobre el contenido y uso de los datos.
Encargado de Tratamiento
VS
Data Processor
La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
A person who processes personal data on behalf of a data controller but does not include an employee of a data controller who processes such data in the course of his employment
La clave es la expresión “on behalf of”. La traducción más plausible es “para” , aunque también he visto que puede referirse a “en nombre de” o “en representación de”. Personalmente me parece que que me inclino por el significado “para”, ya que sobre entiendo que esta figura alude al que interviene en el tratamiento tal y como entendemos a nuestro querido Encargado de Tratamiento.
Afectado o Interesado

VS


Data Subject



Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo
An individual who is the subject of personal data

Tratamiento

VS
Processing

Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Performing automatically logical or arithmetical operations on data and includes—
(a) extracting any information constituting the data, and
(b) in relation to a data processor, the use by a data controller of data equipment in the possession of the data processor and any other services provided by him for a data controller,

Aquí nuestro legislador da una lista clara de operaciones que implican un tratamiento de datos mientras que el legislador irlandés da importancia a la extracción de información de los datos (ojo, no de los datos personales exclusivamente; se refiere a los datos sobre la definición de “data” que hemos visto antes) y al “uso” del “Data Procesor” de los datos de los que dispone el “Data Controller” (entiendo que es el hecho de que haya una relación -en términos de protección de datos- entre lo que nosotros llamamos un “Responsable” y un “Encargado” ). Los irlandeses usan el concepto de “data equipment” que veremos lo que es en el siguiente punto.




Data equipment

Equipment for processing data
El legislador español en la LOPD no da una definición sobre los “equipos” utilizados para tratar datos; para encontrar algo similar a ello, tenemos que irnos al Reglamento de la LOPD, art.5.m, el que define “Sistema de información” como “conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal”.


Exclusiones de la Ley Irlandesa VS exclusiones de la Ley Española
Ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
Ficheros sometidos a la normativa sobre protección de materias clasificadas.
Ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.
No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.
Personal data that in the opinion of the Minister or the Minister for Defence are, or at any time were, kept for the purpose of safeguarding the security of the State,
(b) personal data consisting of information that the person keeping the data is required by law to make available to the public, or
(c) personal data kept by an individual and concerned only with the management of his personal, family or household affairs or kept by an individual only for recreational purposes.

En este punto, tanto la Ley Irlandesa como la Ley Española hacen dos exclusiones similares:
- “Ficheros” domésticos o familiares.
- “Ficheros” que afecten a seguridad del estado.

La diferencia más clara que veo es en el punto “b” de la norma irlandesa, el cual parece prever la entonces futura, y ahora mismo, actual, tendencia a la “transparencia”.

Conclusiones de este primer vistazo:

  1. Teniendo en cuenta que la Ley Irlandesa es de 1988 y la nuestra es de 1999, me parece que los irlandeses fueron unos visionarios.
  2. En los conceptos básicos que he analizado en este post no veo diferencias significativas en ambas normativas. Seguramente en el desarrollo de la normativa podremos ver diferencias más claras (mi intención es retomar esta comparativa en futuros post).

Irlanda, Cliffs of Moher (foto hecha en mi último viaje a este mágico país).


Y con este ambiente medio celta, medio español, me despido, de nuevo, deseando a tod@s una Feliz Navidad y un Feliz Año 2015. Que el nuevo año nos traiga Felicidad, Esperanza, Trabajo, Paz, Sanidad..y JUSTICIA.

Un saludo a tod@s!









Si me quieres conocer un poco más, puedes seguirme en Twitter: https://twitter.com/iurisfriki