Datos personales
Home » RGPD » Conceptos principales » Datos personales

Simona Sobotovicova (UPV/EHU)

Esta parte de las Directrices fue revisada por Daniel Jove Villares, Universidade Da Coruna, España

Esta parte de las Directrices ha sido revisada y validada por Marko Sijan, Asesor Superior Especialista, (HR DPA)

 

El concepto de datos personales

Por datos personales se entiende cualquier información relativa a una persona física identificada o identificable (“sujeto de los datos”). La definición de datos personales según el RGPD añade que una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona[1] física. No cabe duda de que el objetivo de las normas contenidas en el RGPD es proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la intimidad, en relación con el tratamiento de los datos personales. Sin embargo, debido a la amplia definición de datos personales establecida en el RGPD, el Grupo de Trabajo de Protección de Datos del artículo 29, las autoridades nacionales de control de la protección de datos y la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas (en adelante, TJCE) respaldan la definición de datos personales.

El análisis del concepto de datos personales realizado por el Grupo de Trabajo de Protección de Datos del Artículo 29 en el Dictamen 4/2007 se ha basado en los siguientes cuatro “componentes” principales que pueden distinguirse en la definición de “datos[2] personales”:

  • “Cualquier información” – Este término indica claramente la voluntad del legislador de diseñar un concepto amplio de datos personales. Esta redacción exige una interpretación amplia. Abarca información “objetiva”, como la presencia de una determinada sustancia en la sangre. También incluye información “subjetiva”, opiniones o valoraciones. Además, para que una información sea un “dato personal”, no es necesario que sea verdadera o esté probada.

Hay que decir que, el concepto de datos personales incluye una gama muy amplia de información, “no sólo objetiva, sino también subjetiva”, en forma de opiniones y valoraciones, siempre que se “relacione” con el interesado[3].

  • “Relativo a” – En términos generales, se puede considerar que la información se “relaciona” con un individuo cuando es sobre ese individuo. Cabe señalar que, para considerar que los datos se “relacionan” con un individuo, debe estar presente un elemento de “contenido” o un elemento de “finalidad” o un elemento de “resultado”. Estos tres elementos (contenido, finalidad, resultado) deben considerarse como condiciones alternativas, y no como acumulativas, por lo que basta con la presencia de uno de estos elementos para considerar que se “relacionan” con un individuo.

En palabras del TJCE, los criterios de contenido, finalidad o efecto actúan como parámetro para clasificar determinada información como datos personales. Si el contenido, la finalidad o el efecto están vinculados a una persona concreta, entonces la información es un dato personal. La utilización de uno de estos criterios es suficiente para que exista la posibilidad de clasificar una determinada información como dato personal[4].

  • “Una persona identificada o identificable” – En términos generales, una persona física puede considerarse “identificada” cuando, dentro de un grupo de personas, se “distingue” de todos los demás miembros del grupo. En consecuencia, la persona física es “identificable” cuando, aunque la persona no haya sido identificada todavía, es posible hacerlo (ése es el significado del sufijo “-able”).

El RGPD menciona esos “identificadores” en la definición de “datos personales” del artículo 4, apartado 1, mencionada anteriormente. Además, para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios que puedan utilizarse razonablemente, como la identificación, ya sea por el responsable del tratamiento o por otra persona, para identificar a la persona física directa o indirectamente[5]. Sin embargo, la cuestión de si la persona es “identificable” sigue siendo el centro de atención de los recientes debates[6] académicos.

  • “Persona física” – La protección se aplica a las personas físicas, es decir, a los seres humanos. El derecho a la protección de los datos personales es, en ese sentido, un derecho universal que no se limita a los nacionales o residentes en un determinado país.

El RGPD establece que las personas físicas pueden estar asociadas a identificadores en línea proporcionados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de protocolo de Internet, identificadores de cookies u otros identificadores como etiquetas de identificación por radiofrecuencia. Esto puede dejar rastros que, en particular cuando se combinan con identificadores únicos y otra información recibida por los servidores, pueden utilizarse para crear perfiles de las personas físicas e identificarlas[7]. Además, los principios y las normas de protección de las personas físicas en relación con el tratamiento de sus datos personales deben respetar, cualquiera que sea su nacionalidad o residencia, sus derechos y libertades fundamentales, en particular su derecho a la protección de los datos personales. El presente Reglamento tiene por objeto contribuir a la realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y a la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas[8].

El Grupo de Trabajo de Protección de Datos del Artículo 29 afirma que estos cuatro elementos previstos en la primera frase de la definición de datos personales (cualquier información relativa a una persona física identificada o identificable) están estrechamente relacionados y se alimentan mutuamente, pero juntos determinan si una información debe considerarse “datos personales”.

¿Qué información puede considerarse como datos personales?

Las Autoridades Nacionales de Supervisión de la Protección de Datos y la jurisprudencia del TJCE desempeñan un papel esencial a la hora de interpretar las disposiciones legales y ofrecer orientaciones concretas a los responsables del tratamiento y a los interesados, respaldando una definición de datos personales lo suficientemente amplia. La definición de los datos personales es un elemento central para la aplicación e interpretación de las normas de protección de datos que tienen un profundo impacto en una serie de cuestiones y temas importantes. Teniendo en cuenta el formato o el soporte en el que está contenida esa información, el concepto de datos personales incluye la información disponible en cualquier forma, ya sea alfabética, numérica, gráfica, fotográfica o acústica, por ejemplo[9]. El TJCE establece una clasificación de la información como datos personales en diferentes sentencias. En este sentido, el término datos personales abarca sin duda el nombre de una persona junto con sus coordenadas telefónicas o la información sobre sus condiciones de trabajo o aficiones. También la información contenida en texto libre en un documento electrónico puede calificarse de datos personales, siempre que se cumplan los demás criterios de la definición de datos personales. El correo electrónico, por ejemplo, contendrá “datos personales”. El TJCE se ha pronunciado en este sentido al considerar que “referirse, en una página de Internet, a varias personas e identificarlas por su nombre o por otros medios, por ejemplo, dando su número de teléfono o información sobre sus condiciones de trabajo y aficiones, constituye un tratamiento de datos personales […][10].

El 20 de diciembre de 2017 el TJUE dictó su sentencia sobre el “caso Nowak[11]establece la calificación de las respuestas y comentarios subjetivos del examinador dentro de las respuestas escritas presentadas por un candidato en un examen profesional como datos personales, estableciendo una serie de criterios que permiten entender qué datos son de carácter personal[12]. La sentencia aborda la posible aplicación del RGPD para constituir datos personales[13]. Cabe destacar que, la calificación de estos datos como personales conlleva, para el candidato, la posibilidad de utilizar sus derechos de acceso, rectificación y oposición. En este sentido, la calificación como datos personales proporciona el derecho de acceso, pero también las demás facultades que se otorgan al titular de este tipo de datos, que son: los derechos de rectificación, supresión y oposición, así como todas las garantías recogidas en la legislación[14] de protección de datos.

La sentencia también analiza la aplicabilidad del derecho de acceso a datos con más de un titular e intereses contrapuestos (en este caso el examinador y el candidato). El TJCE se reafirma en la idea de que, el hecho de que la información esté en manos de una o varias personas es irrelevante respecto a su calificación como datos personales. La atribución de la condición de datos personales no proviene de este hecho, sino de la propia naturaleza de la información. En cuanto a la definición de datos personales, el TJCE añade otra característica a ésta: la pluralidad de afectados, o la posibilidad de que una información pueda ser un dato personal de más de un interesado[15].

Debido a la calificación de una información como dato personal, en el [16]caso YS y otros, se considera que el análisis jurídico de una minuta elaborada en el marco de una solicitud de permiso de residencia, no es un dato personal ya que se refiere a “información sobre la evaluación y aplicación por la autoridad competente de la ley a la situación del solicitante”. Esta interpretación hizo que, en el caso YS y otros, no se reconociera el derecho de acceso a esa información, al considerar que dicho acceso se basaría en un derecho de acceso a los documentos públicos que no está contemplado en la legislación del RGPD[17]. Sin embargo, si el análisis hubiera incluido alguna evaluación del sujeto, o que pudiera tener un esfuerzo sobre él, entonces se consideraría como datos personales que, como tales, estarían sujetos al RGPD [18].

Podría afirmarse que la definición del RGPD, tal como recuerda el TJCE, se basa en una definición amplia de los datos personales que refleja la intención del legislador de asignar un amplio alcance al concepto, abarcando la información subjetiva y objetiva del interesado. Dado que la clasificación de la información como datos personales la sitúa en el ámbito de la arquitectura de protección de los derechos fundamentales de la UE, también establece tanto los derechos de los interesados como las circunstancias en las que puede disminuirse el nivel de protección debido a objetivos[19] justificables.

 

 

  1. Artículo 4(1) del RGPD.
  2. Véase, Grupo de Trabajo de Protección de Datos del Artículo 29: Dictamen 4/2007 sobre el concepto de datos personales. Adoptado el 20 de junio, 01248/07/ES WP 136, pp.9-12, 21. Disponible en: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf
  3. Sentencia del Tribunal de Justicia de la Unión Europea (Sala Segunda), asunto C-43 4/16, Peter Nowak contra el Comisario de Protección de Datos, 20 de diciembre de 2017, §34.
  4. Sentencia del Tribunal de Justicia de la Unión Europea (Sala Segunda), asunto C-43 4/16, Peter Nowak contra el Comisario de Protección de Datos, 20 de diciembre de 2017, §35.
  5. Considerando (26) RGPD.
  6. Véase, por ejemplo, Purtova, N. (2018). La ley del todo. Concepto amplio de datos personales y futuro de la ley de protección de datos de la UE. Derecho, innovación y tecnología. DOI:https://doi.org/1 0.1080/17579961.2018.1452176.
  7. Considerando (30) RGPD.
  8. Considerando (2) RGPD.
  9. Grupo de Trabajo de Protección de Datos del Artículo 29: Dictamen 4/2007 sobre el concepto de datos personales. Adoptado el 20 de junio, 01248/07/ES WP 136, p.7. Disponible en: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf
  10. Sentencia del Tribunal de Justicia Europeo, C-101/2001, Lindqvist, §27, 06.11.2003.
  11. Sentencia del Tribunal de Justicia de la Unión Europea (Sala Segunda), asunto C-43 4/16, Peter Nowak contra el Comisario de Protección de Datos, 20 de diciembre de 2017.
  12. Jove, D. (2019). Peter Nowak contra el comisario de protección de datos: Posibles secuelas en relación con las anotaciones subjetivas en las historias clínicas. Revista Europea de Derecho de la Protección de Datos, volumen 5, número 2, p. 175. DOI: https://doi.org/10.21552/edpl/2019/2/7
  13. Sentencia del Tribunal de Justicia de la Unión Europea (Sala Segunda), asunto C-43 4/16, Peter Nowak contra el Comisario de Protección de Datos, 20 de diciembre de 2017, §27.
  14. Jove, D. (2019). Peter Nowak contra el comisario de protección de datos: Posibles secuelas en relación con las anotaciones subjetivas en las historias clínicas. Revista europea de derecho de la protección de datos, volumen 5, número 2, p. 177. DOI: https://doi.org/10.21552/edpl/2019/2/7
  15. Ibídem, p. 176, 178.
  16. Sentencia del Tribunal de Justicia, asuntos acumulados C-141/12 y C-372/12, YS y otros, 17 de julio de 2014.
  17. Sentencia del Tribunal de Justicia, asuntos acumulados C-141/12 y C-372/12, YS y otros, 17 de julio de 2014, §40.
  18. Jove, D. (2019). Peter Nowak contra el Comisionado de Protección de Datos: Posibles secuelas en relación con las anotaciones subjetivas en las historias clínicas. Revista Europea de Derecho de la Protección de Datos, volumen 5, número 2, p. 179. DOI: https://doi.org/10.21552/edpl/2019/2/7
  19. Podstawa, K. (2018). Peter Nowak Comisario de Protección de Datos: Puedes acceder al guión de tu examen, porque son datos personales. Revista europea de derecho de la protección de datos (EDPL), 4(2), pp. 254, 256. DOI: https://doi.org/10.21552/edpl/2018/2/17.

 

Ir al contenido