Esta
semana he querido hacer un stop en la preparación de exámenes de la
UNED y lo primero que se me ha ocurrido hacer es buscar la Ley
Irlandesa sobre protección de datos para ver cómo llevan en la isla
verde esta temática. La elección de Irlanda como tema central de
este post no es casualidad, la verdad es que tengo que reconocer que
con este país me tira el corazón (confieso que estoy enamorada de
este país desde que lo visité por primera vez) y, además, tiene
cierto interés como “lopdera”, ya que en Irlanda se encuentra la
sede Europea del ojo que todo lo ve (Mr. Google).
Lo
primero que me llama la atención es que la Ley Irlandesa es de 1988
y su reglamento de 2003. Teniendo en cuenta que nuestra LOPD acaba de
cumplir 15 añitos y el reglamento es de 2007, resulta interesante
esta diferencia de antigüedad.
Me
he detenido, para este post, en los artículos que dan las
definiciones de una y otra Ley, para hacer un texto un poco general
sobre las nociones clave, obviando sus respectivos reglamentos de
desarrollo (aunque es verdad que en uno de los puntos hago alusión
al español para no dejar coja uno de los conceptos). Mi acercamiento
a la normativa irlandesa es un poco temerario, ya que es complicado
traducir correctamente el sentido y los propios conceptos, así que
disculpadme si hay algún error o imprecisión; mi intención es
tener una idea general y ver si son muy diferentes ambas normativas
en un primer vistazo.
Aquí
os dejo mi cuadrito comparativo:
Conceptos
|
|
|
Comentarios:
|
Dato
Personal
VS
Personal
Data
|
Cualquier
información concerniente a personas físicas identificadas o
identificables.
|
Data:
Information in a form in which it can be processed.
Personal
Data: Data relating to a living individual who can be identified
either from the data or from the data in conjunction with other
information in the possession of the data controller
|
La
Ley Irlandesa diferencia entre “dato” y “dato personal”.
Me
llama la atención que los irlandeses hagan hincapié en que un
dato puede ser calificado como dato personal si, en conjunto con
otra información que tenga el Data Controller permite identificar
a una persona viva.
Conclusiones:
1)
Un dato personal sólo lo será si alude a una persona viva (se
excluye a los fallecidos).
2)
El legislador irlandés parece querer dar un papel clave a la
información que tenga el Data Controller; por lo que entiendo, si
éste tiene otras informaciones sobre una persona que pueden ser
“cruzadas” con otro tipo de información que tenga sobre el
mismo sujeto y todo este batiburrillo acaba en que el sujeto puede
ser identificado, será un dato personal.
|
Responsable
del fichero
VS
Data
Controller
|
Persona
física o jurídica, de naturaleza pública o privada u órgano
administrativo, que decida sobre la finalidad, contenido y uso del
tratamiento.
|
A
person who, either alone or with others, controls the contents and
use of personal data
|
La
ley española habla de decisión sobre la finalidad
mientras que la ley irlandesa usa “controls”. Por lo
que he podido indagar, el sentido puede ser parecido al nuestro:
su Data Controller “mandará” sobre el contenido y uso de los
datos.
|
Encargado
de Tratamiento
VS
Data
Processor
|
La
persona física o jurídica, autoridad pública, servicio o
cualquier otro organismo que, sólo o conjuntamente con otros,
trate datos personales por cuenta del responsable del tratamiento.
|
A
person who processes personal data on behalf of a data controller
but does not include an employee of a data controller who
processes such data in the course of his employment
|
La
clave es la expresión “on behalf of”. La traducción
más plausible es “para” , aunque también he visto que puede
referirse a “en nombre de” o “en representación de”.
Personalmente me parece que que me inclino por el significado
“para”, ya que sobre entiendo que esta figura alude al que
interviene en el tratamiento tal y como entendemos a nuestro
querido Encargado de Tratamiento.
|
Afectado
o Interesado
VS
Data
Subject
|
Persona
física titular de los datos que sean objeto del tratamiento a que
se refiere el apartado c) del presente artículo
|
An
individual who is the subject of personal data
|
|
Tratamiento
VS
Processing
|
Operaciones
y procedimientos técnicos de carácter automatizado o no, que
permitan la recogida, grabación, conservación, elaboración,
modificación, bloqueo y cancelación, así como las cesiones de
datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.
|
Performing
automatically logical or arithmetical operations on data and
includes—
(a)
extracting any information constituting the data, and
(b)
in relation to a data processor, the use by a data controller of
data equipment in the possession of the data processor and any
other services provided by him for a data controller,
|
Aquí
nuestro legislador da una lista clara de operaciones que implican
un tratamiento de datos mientras que el legislador irlandés da
importancia a la extracción de información de los datos (ojo, no
de los datos personales exclusivamente; se refiere a los datos
sobre la definición de “data” que hemos visto antes) y al
“uso” del “Data Procesor” de los datos de los que dispone
el “Data Controller” (entiendo que es el hecho de que haya una
relación -en términos de protección de datos- entre lo que
nosotros llamamos un “Responsable” y un “Encargado” ). Los
irlandeses usan el concepto de “data equipment” que veremos lo
que es en el siguiente punto.
|
Data
equipment
|
|
Equipment for
processing data
|
El
legislador español en la LOPD no da una definición sobre los
“equipos” utilizados para tratar datos; para encontrar algo
similar a ello, tenemos que irnos al Reglamento de la LOPD,
art.5.m, el que define “Sistema de información” como
“conjunto de ficheros, tratamientos, programas, soportes y en
su caso, equipos empleados para el tratamiento de datos de
carácter personal”.
|
Exclusiones
de la Ley Irlandesa VS exclusiones de la Ley Española
|
Ficheros
mantenidos por personas físicas en el ejercicio de actividades
exclusivamente personales o domésticas.
Ficheros
sometidos a la normativa sobre protección de materias
clasificadas.
Ficheros
establecidos para la investigación del terrorismo y de formas
graves de delincuencia organizada.
No
obstante, en estos supuestos el responsable del fichero comunicará
previamente la existencia del mismo, sus características
generales y su finalidad a la Agencia de Protección de Datos.
|
Personal
data that in the opinion of the Minister or the Minister for
Defence are, or at any time were, kept for the purpose of
safeguarding the security of the State,
(b)
personal data consisting of information that the person keeping
the data is required by law to make available to the public, or
(c)
personal data kept by an individual and concerned only with the
management of his personal, family or household affairs or kept by
an individual only for recreational purposes.
|
En
este punto, tanto la Ley Irlandesa como la Ley Española hacen dos
exclusiones similares:
-
“Ficheros” domésticos o familiares.
-
“Ficheros” que afecten a seguridad del estado.
La
diferencia más clara que veo es en el punto “b” de la norma
irlandesa, el cual parece prever la entonces futura, y ahora
mismo, actual, tendencia a la “transparencia”.
|
Conclusiones
de este primer vistazo:
Teniendo
en cuenta que la Ley Irlandesa es de 1988 y la nuestra es de 1999,
me parece que los irlandeses fueron unos visionarios.
En los
conceptos básicos que he analizado en este post no veo diferencias
significativas en ambas normativas. Seguramente en el desarrollo de
la normativa podremos ver diferencias más claras (mi intención es
retomar esta comparativa en futuros post).
|
Irlanda, Cliffs of Moher (foto hecha en mi último viaje a este mágico país). |
Y
con este ambiente medio celta, medio español, me despido, de nuevo,
deseando a tod@s una Feliz Navidad y un
Feliz Año 2015. Que el nuevo año nos traiga Felicidad, Esperanza,
Trabajo, Paz, Sanidad..y JUSTICIA.
Si me quieres conocer un poco más, puedes seguirme en Twitter: https://twitter.com/iurisfriki