¿Qué son las bases de datos?
La base de datos se puede definir como un conjunto de datos almacenados sistemáticamente para su uso. Se trata, por tanto, de un conjunto de información más o menos homogénea almacenada y normalmente sistematizada que permite un acceso directo a un conjunto de programas o sistemas que tratan y operan dicha información. También se ha definido como un conjunto exhaustivo de datos estructurados, organizados independientemente de su utilización y su implementación en máquina accesibles de manera inmediata y compatibles con usuarios concurrentes.
En la actualidad, puede decirse que la mayoría de las bases de datos tienen formato informático o electrónico, lo que permite un almacenamiento masivo de datos, de los cuales suelen estar protegidos los datos personales, en España a través precisamente de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Las bases de datos surgen a mediados de los sesenta y se desarrollan fundamentalmente a partir del llamado modelo relacional de IBM, en 1970.
¿Qué son las bases de datos de carácter personal?
Cuando la base de datos almacena y ordena datos de carácter personal, es decir, cualquier información concerniente a personas físicas identificadas o identificables tiene una regulación concreta y específica en la LOPDGDD, la cual se aplica actualmente no sólo a las bases de datos, sino también a los ficheros, o sea, a todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. El objeto de la ley es, por una parte, adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 (en adelante, RGPD) y, por otra parte, garantizar los derechos digitales de la ciudadanía.
Los datos de carácter personal sólo se pueden recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Los datos de carácter personal objeto de tratamiento no pueden usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
Si los datos de carácter personal registrados ya no son necesarios para los fines del tratamiento, el interesado ha retirado su consentimiento (cuando éste sea la base de legitimación del tratamiento) o hayan sido tratados de manera ilícita, deben ser suprimidos. El responsable del tratamiento tiene la obligación de hacer efectivo el derecho de supresión del interesado, al igual que los demás derechos, en el plazo de un mes, salvo excepciones.
Serán rectificados los datos de carácter personal cuando tales datos resulten ser inexactos o incompletos en atención a los fines del tratamiento.
La rectificación y la supresión darán lugar al bloqueo de los datos conforme a la LOPDGDD, que consiste en la identificación y reserva de los mismos. Al respecto, el responsable del tratamiento tendrá que adoptar medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos. Una vez que transcurra el plazo de bloqueo de los datos se procederá a su destrucción.
Los datos de carácter personal deben ser almacenados de forma que permitan el ejercicio de los derechos. La normativa sobre protección de datos obliga al responsable a facilitar información relativa al tratamiento de manera concisa, transparente, inteligible y de fácil acceso.
El tratamiento de los datos de carácter personal requiere de una base de legitimación, que puede ser el consentimiento expreso del interesado, u otra, tal como el cumplimiento de una obligación legal por el responsable del tratamiento, el cumplimiento de un contrato en interés del interesado o el interés legítimo perseguido por el responsable del tratamiento o por un tercero a quien se comuniquen los datos personales, siempre que no prevalezcan los intereses o los derechos y libertades fundamentales de los interesados. Tampoco es necesario el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado.
El consentimiento puede ser revocado en cualquier momento sin que se le atribuyan efectos retroactivos a dicha retirada, es decir, el tratamiento de los datos personales basado en el consentimiento previo a la retirada es lícito.
En cualquier caso, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Por ello, sólo con el consentimiento explícito, lo que significa que el responsable tenga que asegurarse de obtenerlo de manera expresa y por escrito del afectado pueden ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias, así como otras categorías especiales de datos, tales como las relativas a la afiliación sindical, a la vida sexual o a la orientación sexual de la persona física.
El responsable del tratamiento y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
Las actuaciones contrarias a lo dispuesto en la Ley pueden ser objeto de reclamación por los interesados ante la Agencia Española de Protección de Datos o la autoridad de control que sea competente. El interesado al que se deniegue el ejercicio de los derechos de oposición, acceso, rectificación, supresión, limitación del tratamiento o portabilidad, puede ponerlo en conocimiento de la Agencia Española de Protección de Datos o, en su caso, del organismo competente de cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación o la falta de respuesta por el responsable del tratamiento.
¿Qué son los datos personales?
El artículo 4.1 del RGPD define el concepto de datos personales como toda información sobre una persona física identificada o identificable («el interesado»). Es decir, toda información relativa a una persona física que la identifique o permita identificarla se considerará datos personales. Esto supone, por ejemplo, que el nombre, los apellidos, el Documento Nacional de Identidad (DNI), la dirección de correo electrónico, la dirección IP, u otra información, siempre que identifique o permita identificar a la persona física a la que se refiere, sea considerada como datos personales. Se trata, por tanto, de un concepto amplio con el que el legislador europeo quiere dejar claro que se trata de proteger a la persona física por lo que se refiere a las libertades y los derechos fundamentales.
No obstante, aunque la definición es muy amplia, no se trata de un concepto con un alcance absoluto. Es decir, se trata de una cuestión de proporcionalidad en la aplicación de la normativa sobre protección de datos personales para garantizar a la persona física sus derechos y libertades fundamentales, evitando al mismo tiempo una aplicación de la normativa que provoque una carga excesiva o incluso consecuencias absurdas, como ha manifestado el Comité Europeo de Protección de Datos en el Dictamen 4/2007.
Si los datos personales se refieren a una persona física, cabe entender que puede haber otra información que no sea considerada como tal, lo que va a determinar que no sea aplicable el RGPD. Así, en primer lugar, los datos anonimizados, siempre y cuando no sea posible reidentificar a la persona física a la que se refieren, no serán datos personales.
Por el contrario, sí serán datos personales los seudonimizados, definiéndose la seudonimización como el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable (art. 4.5 del RGPD). Es decir, los datos seudonimizados y los cifrados siguen siendo datos personales. Por el contrario, tampoco serán datos personales los relativos a una persona jurídica, explicando al respecto el Considerando 14 del RGPD que este no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.
Recuerde que…
- • Las bases de datos personales almacenan y ordenan datos de carácter personal.
- • Se considera de carácter personal cualquier información concerniente a persona físicas identificadas o identificables.
- • Estos datos sólo se pueden recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con su ámbito y finalidades.
- • El tratamiento de datos de carácter personal requiere el consentimiento expreso del afectado u otra base de legitimación como, por ejemplo, una obligación legal o el cumplimiento de un contrato en interés del interesado.