Tecnología y Derecho

Blog sobre Propiedad Intelectual y Derecho de las Nuevas Tecnologías

Derecho de las nuevas tecnologías / Protección de datos

Definición de dato personal según el Reglamento General de Protección de Datos

Si bien se trata de un tema sobre el que se ha escrito en abundancia, merece la pena repasar la definición de dato personal. Esto es especialmente importante teniendo en cuenta la nueva norma que comenzará a aplicarse en mayo de 2018: el Reglamento General de Protección de Datos de la Unión Europea (RGPD o GDPR). El objeto, por tanto, de este breve artículo es determinar qué son los datos personales de personas físicas (valga la redundancia) de acuerdo con el RGPD.

El RGPD define los datos personales en su artículo 4 como toda información sobre una persona física identificada o identificable. Esta definición no es nueva, porque nos acompaña desde la anterior Directiva de 1995. En mi opinión, esta definición no aclara nada, lo que supone un grandísimo error por parte de nuestra Ley Orgánica de Protección de Datos española (LOPD), al incluirla tal cual en el artículo 3. Precisamente, lo que le da sentido a la definición es explicar qué se entiende por una información concerniente a una persona identificable, porque basándonos en el uso del lenguaje común, no es suficientemente descriptivo como para asentar una definición. Lo más importante de la definición que incluía la Directiva de 1995 lo dejamos fuera en el artículo 3 de la LOPD, aunque se vuelve a recuperar en el RGPD, con novedades.

A tales efectos, merece la pena comparar la diferencia entre los textos, de forma que, según la Directiva de 1995:

Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.

Mientras que el nuevo RGPD establece que (en negrita las diferencias más destacables):

Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Como se puede observar, la definición cambia sutilmente, incluyendo un “por ejemplo” antes de iniciarse a indicar el “número de identificación”, equiparándolo a un nombre, datos de localización o un identificador en línea. Desde mi punto de vista, esta definición tiene mucho más sentido que la anterior que, si bien había sido matizada y al final le encontrábamos sentido, podía considerarse que dejaba fuera muchos conceptos que, en la práctica, estaban siendo o potencialmente podrían ser considerados datos de carácter personal.

Por otro lado, en lo referente a las novedades de la definición, destaca la inclusión de “datos de localización” y “un identificador en línea”. Esta mención expresa probablemente tiene por objetivo unificar el criterio en toda la Unión Europea en relación con las direcciones IP y la ubicación de los usuarios.

No obstante, la cuestión no acaba ahí, porque también se tiene en cuenta la posibilidad de identificar a dicha persona. De esta manera, para saber realmente si una persona física es identificable, deben considerarse todos los medios que, dentro de lo razonable, podrían utilizarse para identificar directa o indirectamente a la persona física. Al mismo tiempo, de cara a determinar si existen posibilidades (como se ha dicho, dentro de un margen razonable) de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.

Por tanto, la normativa de protección de datos no se aplicará en ningún caso a la información anónima, es decir, información que no guarda relación con una persona física identificada o identificable ni, como consecuencia, a los datos convertidos en anónimos, de forma que dicha persona física deje de ser identificable. Esto significa que, por ejemplo, el RGPD permite la utilización de información anónima con fines estadísticos o de investigación.

Por último, para terminar de aclarar la cuestión, debe indicarse que, de la misma manera que sucedía con la normativa anterior, el RGPD no se aplica a la protección de datos personales de personas fallecidas. De esta manera, en el momento que un dato se refiera a una persona que ha perdido la vida, no será considerado como dato de carácter personal.

Deja un comentario