Cesión de datos en el RGPD

Protección de datos en Europa

La cesión de datos en el RGPD es uno de los temas que más controversia genera en el tema de protección de datos en Europa con la entrada en vigor de la nueva normativa.

La normativa de protección de datos en Europa indica que se entiende por cesión de datos en el RGPD cualquier mecanismo que proporcione acceso a los datos de un fichero a un tercero interesado. Es decir, toda revelación de datos realizada a una persona distinta del interesado.

El RGPD, normativa de protección de datos en Europa, señala que la cesión de datos personales a terceros será considerada cuando “el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique una necesaria conexión del tratamiento de ficheros de terceros”. Es decir, en aquellos casos en los que exista un contrato para prestar un servicio. Asimismo, la ley de protección de datos en Europa estipula que se debe actuar dentro del marco del due diligence, sobre todo cuando se trata de datos especialmente protegidos por el RGPD.

La cesión de datos en el RGPD es obligatoria siempre que la empresa responsable de los datos personales contrate los servicios de un tercero y este, para poder prestar dichos servicios, necesite acceder a esa información personal. Es por este motivo que es esencial conocer la normativa vigente de protección de datos en Europa para cumplir de manera adecuada con ella y evitar sanciones y multas por la no adecuación de esta.

Derecho a la portabilidad de datos en RGPD

El RGPD establece mecanismos para garantizar la seguridad en las cesiones de datos y otorga potestad al interesado para ejercer el derecho a la portabilidad de datos. El derecho a la portabilidad de datos del RGPD se refiere a la potestad del individuo para recibir los datos personales que haya facilitado a un responsable del tratamiento y transmitirlos a otros responsables sin que el anterior lo pueda impedir. Pero, ¿Cómo puede ejercerse el derecho a la portabilidad de datos del RGPD?

El derecho a la portabilidad de datos del RGPD consiste en otorgar a cualquier ciudadano europeo el derecho a que cualquier empresa que trate sus datos personales de forma automatizada se los ceda o los transfiera a cualquier otra empresa que este les indique en un formato. Es decir, con el derecho a la portabilidad de datos del RGPD, el ciudadano puede exigir a las empresas que estén tratando sus datos, incluso aquellas que manejan Big Data que se los devuelvan o que los pasen a otra empresa. Junto con los derechos de Acceso, Rectificación, Limitación del tratamiento, Supresión y Oposición, el derecho a la portabilidad de datos del RGPD es uno de los derechos ARCO.

El derecho a la portabilidad de datos del RGPD se aplica en todos los Estados miembros de la Unión Europea bajo unos requisitos generales del procedimiento. El artículo 20 relativo al derecho a la portabilidad de datos del RGPD indica que “el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

• Cuando el interesado haya otorgado su consentimiento expreso para el tratamiento de sus datos con uno o varios fines específicos.

   

• Cuando el tratamiento sea necesario para la ejecución de un contrato o la aplicación de medidas precontractuales de las que el interesado es parte.

   

• Cuando el tratamiento se realice a través de medios automatizados.

   

• Asimismo, existen varias situaciones en que no será posible ejercer el Derecho a la portabilidad de datos del RGPD.

   

• Si los datos personales no han sido proporcionados por el interesado y hayan sido recabados o deducidos por el responsable del tratamiento.

   

• Cuando los datos no se refieren a la propia persona, sino a terceros, ya que el derecho de portabilidad de una persona no puede afectar a los derechos y libertades de terceros.

   

• En los casos en los que el tratamiento no tenga su base legitimadora en el consentimiento de interesado o en la ejecución de un contrato.

   

• En caso de que los datos sean necesarios para el ejercicio de un interés legítimo por parte de los poderes públicos.

   

• Cuando los datos personales hayan sido sometidos a un proceso de anonimización o ya hayan sido suprimidos.

Categorías de datos del RGPD

Como se ha comentado, cualquier empresa que trate datos de carácter personal está obligada a la adecuación de la LOPDGDD y al RPGD. Así, para poder distinguir las categorías de datos del RPGD hay que señalar que se entiende como dato personal cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Una vez definido el concepto, se pueden distinguir en diversas categorías de datos del RGPD, atendiendo a las características que se traten. 

• Datos identificativos

   

• Datos relativos a las características personales

   

• Datos laborales

   

• Datos relativos a las circunstancias sociales

   

• Datos académicos y profesionales

   

• Datos que aportan información comercial

   

• Datos económicos, financieros y de seguros

   

• Datos especialmente protegidos (RGPD)

Cabe indicar que en la última de las categorías de datos del RGPD enumerada se incluyen determinados datos que por su relevancia y por su importancia para la privacidad deben ser tratados y almacenados con un mayor cuidado y cumpliendo una serie de requisitos. Estos son datos especialmente protegidos del RGPD.

Los datos especialmente protegidos del RGPD se denominan así porque son una de las categorías de datos del RGPD que, debido a su incidencia especial en la intimidad, las libertades públicas y los derechos fundamentales de la persona, requieren una mayor protección respecto al resto de datos personales.

Ejemplos de datos especialmente protegidos por RGPD son ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud, vida sexual, datos genéticos y biométricos, así como datos relativos a condenas e infracciones penales.

Categorías especiales de datos del RGPD

Datos genéticos del RGPD

La AEPD define las categorías especiales de datos del RGPD como los datos “en los que, además de los datos de salud, se encuentran los que puedan revelar tu origen étnico o racial, opiniones políticas, convicciones religiosas o fisiológicas, o afiliación sindical, así como el tratamiento de tus datos genéticos, biométricos (si te identificasen de manera unívoca), así como los relativos a tu vida u orientación sexuales”. Así, el tratamiento de las categorías especiales de datos del RGPD queda regulado en el artículo 9. En el mismo establece que queda prohibido el tratamiento de datos personales que revelen:

• El origen étnico o racial.

   

• Las opiniones políticas.

   

• Las convicciones religiosas o filosóficas.

   

• La afiliación sindical.

   

• El tratamiento de datos genéticos del RGPD, datos biométricos dirigidos a identificar de manera unívoca a una persona física.

   

• Los datos relativos a la salud.

   

• Los datos relativos a la vida o las orientaciones sexuales de una persona física.

Cabe hacer hincapié dentro de las categorías especiales de datos RGPD en los datos genéticos. Los datos genéticos de RGPD son datos personales relacionados con las características genéticas heredadas o adquiridas de una persona física que proporcionan información única sobre la fisiología o la salud de esa persona física y que resultan, en particular, de un análisis de una muestra biológica de la persona física en cuestión.

Asimismo, dentro de los datos genéticos del RGPD se incluyen análisis cromosómico, de ADN o ARN, o cualquier otro tipo de análisis que le permita obtener información equivalente. Pero, ¿Qué implican las categorías especiales de datos del RGPD? Implica que el tratamiento de las categorías especiales de datos del RGPD queda prohibido. 

Aunque, cabe indicar, que hay excepciones:

• Tratamiento de categorías especiales de datos del RGPD - Cuando el interesado manifieste de modo “explícito” su consentimiento para dicho tratamiento.

   

• Tratamiento de categorías especiales de datos del RGPD - En el caso de que la persona esté incapacitada para prestar su consentimiento y sea necesario para proteger sus intereses vitales.

   

• Tratamiento de categorías especiales de datos del RGPD - Cuando el tratamiento sea necesario:

   

• Para el cumplimiento de obligaciones y el ejercicio de derechos en el ámbito del derecho laboral y de la seguridad y protección social.

   

• Para la formulación, ejercicio o defensa de reclamaciones.

   

• Para la protección del interés público esencial o el interés público en el ámbito de la salud pública.

   

• Para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.

   

• Por razones de interés público en el ámbito de la salud pública.

   

• Cuando el tratamiento se lleve a cabo por los tribunales en el ejercicio de sus funciones.

   

• Cuando el tratamiento tenga fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

   

• Que sea una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical quien realice el tratamiento.

   

• Cuando los datos de la persona sean manifiestamente públicos.

Apostamos por adaptar tu empresa y negocio al cumplimiento de la protección de datos con la fórmula más sencilla, cómoda y sobre todo, fácil. Si tienes dudas acerca de cómo funciona la ley de protección de datos o de qué son transferencias internacionales en RGPD, ponte en contacto con nosotros. Consúltanos ya sin compromiso.